NAT

Nat : Network Address Translation, mécanisme de translation d'adresses mis au point afin de répondre à la pénurie d'adresses IP.
Le principe du NAT consiste à utiliser une passerelle de connexion à internet, possédant au moins une interface réseau connectée sur le réseau interne et au moins une interface réseau connectée à Internet (possédant une adresse IP routable), pour connecter l'ensemble des machines du réseau ( machines, ayant elles, des IP privées non routables).
Cela se traduit par la modification des adresses IP dans l'en-tête d'un datagramme IP effectuée par un routeur.



Pour qu'une machine du réseau puisse accéder à internet, il faut la configurer pour utiliser la passerelle NAT (en précisant l'adresse IP de la passerelle dans le champ « Gateway » de ses paramètres TCP/IP).

Ainsi, lorsque cette machine fera une requête vers Internet, la passerelle recevra et effectuera la requête à sa place, recevra la réponse, puis la transmettra à la machine ayant fait la demande.



La passerelle camouflant l'adresse IP de la machine, le NAT permet d'assurer une fonction de sécurisation. En effet, pour un observateur externe au réseau, toutes les requêtes semblent provenir de l'adresse IP de la passerelle.

NAT statique. A une adresse IP publique, on associe une adresse privée. Cette solution ne permet pas de diminuer le nombre d'IP routables.

NAT dynamique. Permet de partager une IP routable entre plusieurs machines. Ainsi, toutes les machines du réseau interne possède virtuellement, vu de l'extérieur, la même adresse IP. C'est la raison pour laquelle le terme de « mascarade IP » (en anglais IP masquerading) est parfois utilisé pour désigner le mécanisme de translation d'adresse dynamique.

Afin de pouvoir « multiplexer » (partager) les différentes adresses IP sur une ou plusieurs adresses IP routables le NAT dynamique utilise le mécanisme de translation de port (PAT - Port Address Translation), c'est-à-dire l'affectation d'un port source différent à chaque requête de telle manière à pouvoir maintenir une correspondance entre les requêtes provenant du réseau interne et les réponses des machines sur Internet, toutes adressées à l'adresse IP du routeur.

Port Forwarding.
La translation d'adresse ne permet de relayer que des requêtes provenant du réseau interne vers le réseau externe, ce qui signifie qu'il est impossible en tant que tel pour une machine externe d'envoyer un paquet vers une machine du réseau interne. En d'autres termes, les machines du réseau interne ne peuvent pas fonctionner en tant que serveur vis-à-vis de l'extérieur.
Pour cette raison, il existe une extension du NAT appelée « redirection de port » (en anglais Port Forwarding ou Port mapping) consistant à configurer la passerelle pour transmettre à une machine spécifique du réseau interne, tous les paquets reçus sur un port particulier. Ainsi, si l'on souhaite pouvoir accéder de l'extérieur à un serveur web (port 80) fonctionnant sur la machine 192.168.1.2, il sera nécessaire de définir une règle de redirection de port sur la passerelle, redirigeant tous les paquets TCP reçus sur son port 80 vers la machine 192.168.1.2.

Port Triggering.
La plupart des applications client-serveur effectuent une requête sur un hôte distant sur un port donné et ouvrent un port en retour pour récupérer les données. Néanmoins, certaines applications utilisent plus d'un port pour échanger des données avec le serveur, c'est le cas par exemple du FTP, pour lequel une connexion est établie par le port 21, mais les données sont transférées par le port 20. Ainsi, avec le mécanisme NAT, après une demande de connexion sur le port 21 d'un serveur FTP distant, la passerelle attend une connexion sur un seul port et refusera la demande de connexion au port 20 du client.
Il existe un mécanisme dérivé du NAT, appelé « déclenchement de port » (en anglais port triggering), permettant d'autoriser la connexion à certains ports (port forwarding) si une condition (requête) est remplie. Il s'agit donc d'une redirection de port conditionnelle, permettant de ne pas laisser ouvert un port en permanence, mais uniquement lorsqu'une application en a besoin.

Liens des sites à consulter pour complément :
- G:\_Informatique_Numerique\_informatique_numerique_html\tutos\telech_/NAT et FTP — cisco_goffinet_org.htm
- http://www.didierg.com/lbgeeks/article.php3?id_article=20