Qu’est-ce que la traduction d’adresses réseau?
La traduction d’adresses réseau (NAT) est le processus par lequel un périphérique réseau, généralement un pare-feu, attribue une adresse publique à un ordinateur (ou un groupe d’ordinateurs) à l’intérieur d’un réseau privé. La principale utilisation de la NAT est de limiter le nombre d’adresses IP publiques qu’une organisation ou une entreprise doit utiliser, à des fins d’économie et de sécurité.
La forme la plus courante de traduction de réseau implique un grand réseau privé utilisant des adresses dans une plage privée (10.0.0.0 à 10.255.255.255, 172.16.0.0 à 172.31.255.255 ou 192.168.0 0 à 192.168.255.255). Le schéma d’adressage privé fonctionne bien pour les ordinateurs qui ne doivent accéder qu’aux ressources du réseau, comme les stations de travail qui doivent accéder aux serveurs de fichiers et aux imprimantes. Les routeurs à l’intérieur du réseau privé peuvent acheminer le trafic entre les adresses privées sans problème. Cependant, pour accéder à des ressources extérieures au réseau, comme l’Internet, ces ordinateurs doivent avoir une adresse publique pour que les réponses à leurs demandes leur parviennent. C’est là que la NAT entre en jeu.
Les requêtes Internet qui nécessitent une traduction d’adresse réseau (NAT) sont assez complexes, mais se produisent si rapidement que l’utilisateur final sait rarement qu’elles ont eu lieu. Une station de travail à l’intérieur d’un réseau fait une demande à un ordinateur sur Internet. Les routeurs du réseau reconnaissent que la demande ne concerne pas une ressource à l’intérieur du réseau et l’envoient au pare-feu. Le pare-feu voit la demande de l’ordinateur avec l’IP interne. Il envoie ensuite la même demande à Internet en utilisant sa propre adresse publique et renvoie la réponse de la ressource Internet à l’ordinateur du réseau privé. Du point de vue de la ressource sur Internet, elle envoie des informations à l’adresse du pare-feu. Du point de vue de la station de travail, il semble que la communication se fasse directement avec le site sur Internet. Lorsque le NAT est utilisé de cette manière, tous les utilisateurs du réseau privé accédant à Internet ont la même adresse IP publique lorsqu’ils utilisent Internet. Cela signifie qu’une seule adresse publique est nécessaire pour des centaines, voire des milliers d’utilisateurs.
La plupart des pare-feu modernes sont stateful, c’est-à-dire qu’ils sont capables d’établir la connexion entre le poste de travail interne et la ressource Internet. Ils peuvent garder trace des détails de la connexion, comme les ports, l’ordre des paquets et les adresses IP concernées. C’est ce qu’on appelle le suivi de l’état de la connexion. De cette façon, ils sont capables de suivre la session composée de la communication entre le poste de travail et le pare-feu, et le pare-feu avec l’Internet. Lorsque la session prend fin, le pare-feu supprime toutes les informations relatives à la connexion.
Il existe d’autres utilisations de la traduction d’adresses réseau (NAT) que la simple possibilité de permettre aux postes de travail ayant une adresse IP interne d’accéder à Internet. Dans les grands réseaux, certains serveurs peuvent faire office de serveurs Web et nécessiter un accès depuis Internet. Ces serveurs se voient attribuer des adresses IP publiques sur le pare-feu, ce qui permet au public d’accéder aux serveurs uniquement via cette adresse IP. Toutefois, en tant que couche de sécurité supplémentaire, le pare-feu sert d’intermédiaire entre le monde extérieur et le réseau interne protégé. Des règles supplémentaires peuvent être ajoutées, notamment les ports auxquels on peut accéder à cette adresse IP. L’utilisation du NAT de cette manière permet aux ingénieurs réseau d’acheminer plus efficacement le trafic du réseau interne vers les mêmes ressources et d’autoriser l’accès à davantage de ports, tout en limitant l’accès au niveau du pare-feu. Elle permet également de consigner en détail les communications entre le réseau et le monde extérieur.
En outre, la NAT peut également être utilisée pour autoriser un accès sélectif à l’extérieur du réseau. Les stations de travail ou autres ordinateurs nécessitant un accès spécial à l’extérieur du réseau peuvent se voir attribuer des IP externes spécifiques à l’aide du NAT, ce qui leur permet de communiquer avec des ordinateurs et des applications nécessitant une adresse IP publique unique. Là encore, le pare-feu joue le rôle d’intermédiaire et peut contrôler la session dans les deux sens, en limitant l’accès aux ports et aux protocoles.