Loiseau Lucien, 2011-11-30 17:19 UTC+0100:
Le 30/11/2011 16:58, Tanguy Ortolo a écrit :
En IPv4, ton réseau local utilise un NAT effectué par ton routeur (ta Freebox, en l'occurrence). Cela pose des problèmes pour accéder à tes propres services depuis une machine qui est derrière le même NAT.
Excuse moi d'intervenir, je ne suis moi même pas sur de comprendre de quoi tu parles, deux machines derrière le même NAT sont sur le même réseaux IP privée et donc n'ont aucun problème à se parler. peut-être voulais tu dire "qui n'est pas derrière le même NAT" ?
Non non, j'ai bien dit ce que j'ai dit. Par exemple, supposons que tu expose un service de boîtes aux lettres nommé <pop.example.com> sur ton serveur <muscadet.example.com>, derrière ton ADSL qui a pour adresse IPv4 publique 192.2.0.42: pop.example.com. CNAME muscadet.example.com. muscadet.example.com. A 192.2.0.42 De l'extérieur, on peut se connecter à <pop.example.com>, on tombe sur ta Freebox, qui redirige le flux vers l'adresse privée de ton serveur, disons 192.168.0.12. Mais de l'intérieur, disons depuis un ordinateur d'adresse privée 192.168.0.51, quand on essaie de se connecter à <pop.example.com> [192.2.0.42], on tombe sur la Freebox *de l'intérieur*, et non directement sur le serveur. Sans configuration particulière pour se cas de figure, selon sa configuration, le routeur NAT peut se comporter : – en refusant la connexion parce qu'il n'a pas de serveur POP qui tourne ; – en modifiant l'adresse destination pour le transmettre au serveur : 1. le serveur va alors recevoir un paquet avec pour adresse source 192.168.0.51 et pour adresse destination 192.168.0.12, 2. il va par conséquent envoyer les paquets réponses avec pour adresse source 192.168.0.12 et pour destination 192.168.0.51, sans passer par le routeur puisque cette adresse est dans son réseau, 3. le client va recevoir ces paquets, qui proviennent de l'adresse privée 192.168.0.51 à laquelle il n'a jamais rien demandé, et il va donc les jeter. Le double NAT consiste pour le routeur à modifier les champs d'adresse source *et* destination des paquets qui proviennent de l'intérieur à destination de son adresse publique.
La solution la plus simple à ces problèmes consiste à utiliser IPv6. D'autres solutions existent, comme la mise en place d'un système de noms à horizon multiple ou un double NAT. Cette dernière solution est déjà mise en place par Free sur les Freebox, il me semble.
IPv6 permet de restaurer la notion de "bout en bout" et donc toutes les machines du réseau seront accessible depuis l'Internet sans intermédiaire.
Sans intermédiaire à moins que tu n'en ajoute, par exemple un pare-feu, bien sûr. Pour conserver la fonctionnalité IPv6, il faut que ce soit un pare-feu invisible au niveau réseau, soit un pont filtrant. C'est un peu spécial mais ça se fait très bien. :-) -- Tanguy Ortolo