Comment des millions de machines privées partagent quelques millions d'adresses publiques grâce à la translation de ports.
Le NAT est une technique qui permet à plusieurs appareils d'un réseau privé de partager une seule adresse IP publique. Le routeur (votre box internet) maintient une table de correspondance entre les connexions internes et les ports publics utilisés.
| IP src interne | Port src | IP publique | Port traduit | Destination | État |
|---|---|---|---|---|---|
| 192.168.1.10 | 52341 | 90.100.200.1 | 60001 | 8.8.8.8:443 | ESTABLISHED |
| 192.168.1.11 | 48920 | 90.100.200.1 | 60002 | 142.250.74.68:443 | ESTABLISHED |
| 192.168.1.12 | 53102 | 90.100.200.1 | 60003 | 151.101.1.69:443 | ESTABLISHED |
192.168.1.10 par 90.100.200.1 et note « port 60001 = PC ». Quand la réponse revient sur le port 60001, la box redirige vers le PC. C'est le PAT (Port Address Translation).
Sélectionnez un appareil et suivez le voyage complet d'un paquet depuis l'émission interne jusqu'à la réponse du serveur distant. Chaque étape détaille les transformations effectuées par la box NAT.
Il existe trois variantes de NAT, chacune adaptée à un cas d'usage précis. La quasi-totalité des connexions résidentielles et professionnelles utilisent le PAT.
Chaque adresse IP privée est mappée de façon permanente à une adresse IP publique unique. La traduction est toujours identique, dans les deux sens. Utilisé principalement pour exposer des serveurs internes sur Internet.
Un pool d'adresses IP publiques est défini. Chaque connexion sortante se voit attribuer dynamiquement une IP publique disponible du pool. L'attribution n'est pas permanente.
Une seule IP publique supporte des milliers de connexions simultanées grâce à la différenciation par numéro de port. C'est ce que fait votre box internet. C'est aussi ce que fait CGNAT chez votre opérateur.
Le NAT introduit des cas limites qui peuvent surprendre les administrateurs réseau. Deux situations méritent une attention particulière : le hairpin NAT et le CGNAT.
Quand un appareil interne tente d'accéder à un serveur interne
en utilisant son IP publique (ex: depuis le LAN, accès à monserveur.com
qui pointe vers 90.100.200.1).
Certaines box gèrent ce cas automatiquement (hairpin actif). D'autres rejettent la connexion car le paquet revient d'où il vient. Problème classique en homelab.
monserveur.com
vers l'IP privée en interne, vers l'IP publique en externe.
Les FAI eux-mêmes font du NAT sur leurs abonnés. Votre box NAT, puis
le réseau de l'opérateur NAT encore. C'est le double NAT.
Les adresses CGNAT utilisent la plage 100.64.0.0/10 (RFC 6598).
Le NAT est un compromis pragmatique face à l'épuisement IPv4. Il résout le problème des adresses mais introduit des contraintes fondamentales sur l'architecture réseau.
10.0.0.0/8, 172.16.0.0/12
et 192.168.0.0/16. Ces adresses ne sont jamais routées sur Internet, elles nécessitent obligatoirement
un NAT pour accéder au réseau public.
Un routeur NAT gère la correspondance entre les connexions internes et l'adresse publique. Complétez les entrées manquantes de la table PAT ci-dessous.