FAQ RéseauxConsultez toutes les FAQ

Nombre d'auteurs : 4, nombre de questions : 55, dernière mise à jour : 8 octobre 2014  Ajouter une question

 

La FAQ réseaux avec toutes vos questions réponses


SommaireLa translation d'adresse (6)
précédent sommaire suivant
 

Les réseaux dit privés sont une pratique courante dans les réseaux locaux. En effet, tous les d'utilisateurs ni les entreprises n'ont besoin de disposer d'une adresse IP mondialement unique (appelée aussi adresse IP publique) pour tous les éléments de leur réseau, ordinateurs, imprimantes, etc.

Une autre raison de l'utilisation de ces réseaux privés provient de la pénurie d'adresses IP publiques. Il n'y en a plus (ou presque plus) de disponibles. IPv6 devrait résoudre ce problème.

La RFC 1918 "Address Allocation for Private Internets" définit plusieurs réseaux dit privés. Ces réseaux sont garantis pour ne pas être routés sur Internet. Vous pouvez donc les utiliser comme bon vous semble. Ces différents réseaux sont :

  • 10.0.0.0 - 10.255.255.255 (soit une classe A complète)
  • 172.16.0.0 - 172.31.255.255 (soient 16 classes B complètes)
  • 192.168.0.0 - 192.168.255.255 (soient 256 classes C complètes)


Afin de relier des réseaux privés à l'Internet, on utilise un dispositif de translation d'adresse (NAT) afin de traduire ces adresses IP privées (donc non routables sur Internet) en adresses IP publiques (donc routables sur Internet). Un dispositif de translation d'adresse nécessite au moins une adresse IP publique.

Mis à jour le 17 décembre 2013 ram-0000

Une adresse IP privée est une adresse IP qui appartient à un réseau privé.

Les réseaux privés sont définis par la RFC 1918 "Address Allocation for Private Internets" et sont :

  • 10.0.0.0 - 10.255.255.255 (soit une classe A complète)
  • 172.16.0.0 - 172.31.255.255 (soient 16 classes B complètes)
  • 192.168.0.0 - 192.168.255.255 (soient 256 classes C complètes)


La particularités de ces adresses est qu'elles ne sont pas directement routables sur Internet. Ces adresses doivent impérativement être modifiées par un dispositif de translation d'adresses qui va modifier à la volée les requêtes et les réponses et les transformer en adresses IP publiques.

Mis à jour le 18 décembre 2013 ram-0000

La NAT désigne 2 choses :
- La NAT (Network Address Translation) est une notion de gestion de réseau que l'on inclue dans une notion plus large que l'on appelle "Translation d'adresse" (voir FAQ correspondante)

- "NAT" est aussi le terme que l'on donne un peu par abus de langage à cette notion plus large que l'on appelle (un peu abusivement donc) "Translation d'adresse" (voir FAQ correspondante)

Donc, pour faire simple, la NAT est une notion particulière de la notion plus large de "NAT"

Mis à jour le 27 décembre 2013 sevyc64

La PAT (Port Address Translation) est une notion de gestion de réseau que l'on inclue dans une notion plus large que l'on appelle "Translation d'adresse" (voir FAQ correspondante)

Mis à jour le 27 décembre 2013

La translation d'adresse est aussi connue sous le terme de NAT, mais cette notion regroupe plusieurs définitions qu'il est bon de préciser.

Qu'est-ce que la NAT ?

La NAT (pour Network Address Translation) est une technique qui permet de modifier "à la volée" les adresses IP source et/ou destination ainsi qu'éventuellement les ports source et/ou destination d'une trame IP ainsi que les réponses à cette trame.

La NAT peut s'appliquer aux protocoles TCP et/ou UDP et/ou ICMP (sachant que la notion de port n'a pas de sens avec le protocole ICMP)

En fait, la notion de NAT telle que définie ainsi, est la plus couramment utilisée, en terme général, mais c'est un peu un abus de langage. Cette notion de NAT regroupe en réalité plusieurs techniques de gestion de réseau notamment pour le routage. Elle comprend notamment les 2 principales notions, NAT (sens original), PAT ainsi que leurs déclinaisons et combinaisons.

NAT (sens original) : Translation d'adresse où, dans un paquet qui transite par un routeur, l'adresse IP d'origine d'un paquet reçu sur un port du routeur est remplacé par l'adresse IP du port de sortie du routeur, qui devient donc la nouvelle adresse IP d'origine du paquet pour le nouveau réseau. On en touche pas aux autres informations.
PAT : Translation de port où, ici, le routeur remplace le port d'origine du paquet par un nouveau port. Les autres informations, y compris l'adresse IP ne sont pas touchées.

Ci-dessous, le terme NAT sera utilisé aussi bien dans le sens général (la plupart du temps) que dans le sens original

Pourquoi utilise-t-on, ou doit-on utiliser la NAT ?
La NAT doit être utilisée car l'espace des adresses IP publiques, bien que grand, n'est pas infini. A l'heure actuelle, il n'est plus possible d'attribuer une adresse IP publique par équipement connecté (ordinateur, tablette, Play Station, Wii, imprimante, téléphone...). Il faut se restreindre et c'est pourquoi les FAI ne donnent plus qu'une seule adresse IP publique par client et le client doit s'arranger avec cette unique adresse IP publique en l'utilisant au mieux.

La technique de NAT va s'occuper de "partager" cette adresse IP publique avec tous les équipements qui ont besoin de communiquer avec Internet.

Le problème de manque d'adresses IP publiques étant résolu avec IPv6, la NAT ne devrait plus être utilisée avec ce nouveau protocole.

De manière générale, la NAT est utilisée lorsque un réseau contenant un certain nombre d'adresses n'est accessible que par des points d'accès n'offrant qu'un nombre restreint d'adresses "publiques"

Dans quel cas utilise-t-on la NAT ?

La NAT s'utilise donc pour traduire l'adresse "publique" du point d'accès (et donc du réseau qu'il représente) en l'adresse d'une des innombrables machines à l'intérieur de ce réseau. Par exemple :
Pour connecter un réseau privé (au sens RFC 1918) avec un réseau publique (Internet), les adresses IP privées ne sont pas routées sur Internet. Ces adresses IP privées doivent donc être modifiées pour pourvoir accéder à Internet, remplacées ici par l'adresse publique de la box fournie par le FAI (Fournisseur d'accès Internet).

Pour relier deux réseaux d'entreprises qui utilisent le même plan d'adressage. Pour que les clients (au sens IP du terme) de l'entreprise A puissent joindre les serveurs de l'entreprise B et vice versa, il faut mettre en place de la NAT sur les points d'accès des entreprises A et B.

Quelle sont les différents types de NAT ?
Il existe plusieurs types de NAT, que ce soit du NAT statique (association fixe entre une adresse interne et une adresse externe) ou dynamique (association de courte durée faite à l'initialisation de la connexion, de l'adresse d'une plage d'adresses vers un nombre plus petit d'adresses, souvent associé avec du PAT) Voir ce wiki

Autre exemple de NAT : La connexion internet du particulier avec une box ADSL ou un modem/routeur ADSL

Ici, deux types de NAT différentes sont utilisées, suivant que la connexion initiale est sortante (de l'intérieur vers Internet) ou entrante (de l'Internet vers l'intérieur).

Connexion sortante (de l'intérieur vers Internet) : Ici, la box pratique de la NAT dite NAT dynamique Masquerading PAT. La box remplace l'adresse source (machine sur le réseau interne) par sa propre adresse publique (elle devient donc source vis à vis d'internet) mais elle translate aussi le port source vers un autre port. En gardant en mémoire la combinaison nouveau port/ancienne adresse et ancien port, elle sera capable ainsi de retransmettre les paquets de retour à la machine interne qui a initié la connexion.

Connexion entrante (de l'Internet vers l'intérieur, lorsque un serveur est hébergé par une machine sur le réseau interne) : Ici, la box va faire de la NAT statique. La plupart du temps c'est de la NAT statique unidirectionnelle, c'est à dire que la box, pour un port d'entrée donné, traduit l'adresse publique en une adresse privée définie pour transmettre le paquet à la machine correspondante, le port n'étant pas modifié. Cela peut aussi être de la NAT statique PAT, lorsqu'en plus, il y a traduction du port.

Mis à jour le 27 décembre 2013 sevyc64

Ce problème s'appelle le NAT Hairpinning ou encore le NAT Loopback. Il est aussi communément appelé problématique des paquets sortants/ré-entrants.

Le fait d'utiliser l'adresse publique d'un réseau local, depuis ce réseau local pour accéder à une autre machine ou service de ce même réseau local signifie que le paquet en question va partir du client, puisque la destination est une adresse n'appartenant pas au réseau local, il va transiter par la passerelle. Cette passerelle aura pour rôle de diriger le paquet sur le réseau public à destination d'elle même puisque l'adresse de destination est en réalité l'adresse publique de la passerelle.

C'est ce phénomène qui pose problème, le paquet qui est censé sortir, doit immédiatement ré-entrer.

La plupart des routeurs, par défaut, ne routent pas ce genre de paquets car cela peut traduire un problème de sécurité et de compromission du réseau local (cela peut ressembler à du spoofing IP). C'est le cas notamment des box ADSL en France.

Contrairement au dites box ou il n'est pas prévus de pouvoir configurer cela, certains routeurs évolués permettent de configurer et autoriser ce trafic.

Lorsqu'on ne peut pas (ou ne veut pas) configurer le routeur, pour résoudre le problème, il faut

  • Soit ne pas utiliser l'adresse publique mais l'adresse privée de la machine cible
  • Soit utiliser un moyen pour réellement sortir sur internet vers une autre machine et faire transiter la requete par cette machine (VPN, proxy public et souvent anonyme, ..)
  • Soit demander à une connaissance sur un autre site d'effectuer la requete à votre place.
  • Dans le cas d'une utilisation d'une url avec domaine plutôt que adresse IP, configurer chaque machine pour indiquer l'adresse IP locale correspondante au domaine (fichier Host)


Il existe une autre solution lorsqu'on utilise une url à domaine plutôt qu'une adresse IP, qui consiste à avoir sur son réseau local, son propre serveur DNS. Ce serveur DNS sera configuré de sorte à répondre par l'adresse ip locale du service recherché au lieu de donner l'adresse IP publique.
Il va sans dire que
1) toutes les machines du réseau local, au minimum, utilisatrices du-dit service auront leur configuration IP modifiée pour avoir en serveur DNS le serveur local
2) que le serveur local sera configuré (si ce n'est pas par défaut) pour être capable d'interroger ou rediriger les demandes vers les DNS publics lorsqu'il ne sait pas résoudre lui-même un domaine.

Mis à jour le 27 décembre 2013 ram-0000

Proposer une nouvelle réponse sur la FAQ

Ce n'est pas l'endroit pour poser des questions, allez plutôt sur le forum de la rubrique pour ça


Réponse à la question

Liens sous la question
précédent sommaire suivant
 

Les sources présentées sur cette page sont libres de droits et vous pouvez les utiliser à votre convenance. Par contre, la page de présentation constitue une œuvre intellectuelle protégée par les droits d'auteur. Copyright © 2019 Developpez Developpez LLC. Tous droits réservés Developpez LLC. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents et images sans l'autorisation expresse de Developpez LLC. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.

 
Responsable bénévole de la rubrique Réseau : chrtophe -

Partenaire : Hébergement Web