Le 30/11/2011 17:35, Tanguy Ortolo a écrit :
Loiseau Lucien, 2011-11-30 17:19 UTC+0100:
Le 30/11/2011 16:58, Tanguy Ortolo a écrit :
En IPv4, ton réseau local utilise un NAT effectué par ton routeur (ta Freebox, en l'occurrence). Cela pose des problèmes pour accéder à tes propres services depuis une machine qui est derrière le même NAT. Excuse moi d'intervenir, je ne suis moi même pas sur de comprendre de quoi tu parles, deux machines derrière le même NAT sont sur le même réseaux IP privée et donc n'ont aucun problème à se parler. peut-être voulais tu dire "qui n'est pas derrière le même NAT" ? Non non, j'ai bien dit ce que j'ai dit. Par exemple, supposons que tu expose un service de boîtes aux lettres nommé<pop.example.com> sur ton serveur<muscadet.example.com>, derrière ton ADSL qui a pour adresse IPv4 publique 192.2.0.42: pop.example.com. CNAME muscadet.example.com. muscadet.example.com. A 192.2.0.42
De l'extérieur, on peut se connecter à<pop.example.com>, on tombe sur ta Freebox, qui redirige le flux vers l'adresse privée de ton serveur, disons 192.168.0.12. Mais de l'intérieur, disons depuis un ordinateur d'adresse privée 192.168.0.51, quand on essaie de se connecter à <pop.example.com> [192.2.0.42], on tombe sur la Freebox *de l'intérieur*, et non directement sur le serveur. Sans configuration particulière pour se cas de figure, selon sa configuration, le routeur NAT peut se comporter : – en refusant la connexion parce qu'il n'a pas de serveur POP qui tourne ; – en modifiant l'adresse destination pour le transmettre au serveur : 1. le serveur va alors recevoir un paquet avec pour adresse source 192.168.0.51 et pour adresse destination 192.168.0.12, 2. il va par conséquent envoyer les paquets réponses avec pour adresse source 192.168.0.12 et pour destination 192.168.0.51, sans passer par le routeur puisque cette adresse est dans son réseau, Je vois où tu veux en venir, sauf que "sans passer par le routeur" ne s'applique pas dans ce cas là. En effet la freebox fait aussi switch, donc le paquet retour passera aussi par la freebox, et donc le NAT ayant un état actif appliquera la translation 192.168.0.12 par 192.2.0.42. 3. le client va recevoir ces paquets, qui proviennent de l'adresse privée 192.168.0.51 à laquelle il n'a jamais rien demandé, et il va donc les jeter. (je pense que tu voulais mettre 192.168.0.12 ici) Le double NAT consiste pour le routeur à modifier les champs d'adresse source *et* destination des paquets qui proviennent de l'intérieur à destination de son adresse publique.
Quand j'entend double NAT j'entend "passer par deux NAT différents" alors que là c'est simplement du DNAT (Destination Network Address Translation) et "œuf corse" dirons nous, il change la source pour le chemin du retour. Le SNAT (Source Network Address Translation) refère à du NAT basé sur l'adresse source, ce qui n'est pas le cas ici.
La solution la plus simple à ces problèmes consiste à utiliser IPv6. D'autres solutions existent, comme la mise en place d'un système de noms à horizon multiple ou un double NAT. Cette dernière solution est déjà mise en place par Free sur les Freebox, il me semble. IPv6 permet de restaurer la notion de "bout en bout" et donc toutes les machines du réseau seront accessible depuis l'Internet sans intermédiaire. Sans intermédiaire à moins que tu n'en ajoute, par exemple un pare-feu, bien sûr. Pour conserver la fonctionnalité IPv6, il faut que ce soit un pare-feu invisible au niveau réseau, soit un pont filtrant. C'est un peu spécial mais ça se fait très bien. :-)
Oui tout à fait, excusez mon écart de langage, quand je parlais d'intermédiaire je parlais d'intermédiaire de type NAT, c'est à dire que l'IP source et destination correspondent effectivement au machines source et destination.
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide