Discussion :

[ram-0000]

Qu'est ce que la NAT et la PAT ?

Quelle différence entre les deux ?

[Miistik]

Ces deux notions sont liées aux réseaux publics et privés.

Chaque ordinateur dispose d'une adresse IP privé dans un réseau domestique ou entreprise.
Pour aller sur Internet, celui-ci doit disposer d'une adresse IP publique unique.
La version du protocole IP la plus utilisée est la 4. Celle-ci permet d'adresser 4 milliards d'hôtes (en fait beaucoup moins, si vous êtes intéressés renseigner vous sur IPv4).
Au vu de la montée d'Internet, il n'y a pas assez d'adresses Ip publiques.

On a donc recours à deux mécanismes :

- Le NAT (Network Address Translation) esentiellement présent sur les routeurs faisant la liaison LAN/WAN.
Il permet de faire transiter x hôtes du LAN avec x adresses IP publiques WAN.
Outre ce rôle, cela permet de rendre invisible les adresses privés du LAN.

- Le PAT (Port Address Translation) permet de surcharger une adresse IP publique avec plusieurs ports. Ceci dans le but de faire transiter plusieurs hôtes LAN avec une seule adresse WAN. On économise ainsi beaucoup d'adresses IP publiques (donc de l'argent).

[Cybher]

On a donc recours à deux mécanismes :

- Le NAT (Network Address Translation) esentiellement présent sur les routeurs faisant la liaison LAN/WAN.
Il permet de faire transiter x hôtes du LAN avec x adresses IP publiques WAN.
Outre ce rôle, cela permet de rendre invisible les adresses privés du LAN.

- Le PAT (Port Address Translation) permet de surcharger une adresse IP publique avec plusieurs ports. Ceci dans le but de faire transiter plusieurs hôtes LAN avec une seule adresse WAN. On économise ainsi beaucoup d'adresses IP publiques (donc de l'argent).

hello,

au niveau du nat, je dirais plus x hotes du LAN avec y adresses IP publiques. Rien n'empêche d'avoir x postes du LAN qui sortent sur internet avec une seule ip publique.

Pour le pat, je le vois plus comme un mécanisme permettant de rendre accessible plusieurs services (différents serveurs) derrière une même IP publique

[Miistik]

hello,

au niveau du nat, je dirais plus x hotes du LAN avec y adresses IP publiques. Rien n'empêche d'avoir x postes du LAN qui sortent sur internet avec une seule ip publique.

Pour le pat, je le vois plus comme un mécanisme permettant de rendre accessible plusieurs services (différents serveurs) derrière une même IP publique

Bonjour,

Le nat statique implique une adresse IP privé vers une publique
Ou un range privé vers un range équivalent publique.

Pour que plusieurs hôtes LAN sortent avec une seule et unique adresse publique, il faut un NAT dynamique donc une surchage de port nommé PAT.

Pour ta définition du PAT, je vois un mélange de cluster et de NAT (et PAT).

Je me trompe peut-être.

[ram-0000]

<Pour moi>

La NAT, c'est fait par un firewall qui possède un pool d'adresse IP publiques et qui fait un mapping entre 1 adresse IP publique et une adresse IP interne. Dans la NAT, il n'y a que les adresses IP qui sont modifiées.

La PAT, c'est ce que font les box des particuliers. On a une seule adresse IP publique (celle de la box) et plusieurs adresses IP privées. Le dispositif de PAT établit une table de correspondance [ip interne/port interne/port externe] et modifie à la volée les requêtes (en changeant l'IP source et le port source) et les réponses (en changeant l'IP destination et le port destination).

Ce qu'on appelle NAT sur une box est un terme impropre, on devrait parler de PAT.

</Pour moi>

[fredoche]

La NAT, c'est fait par un firewall qui possède un pool d'adresse IP publiques et qui fait un mapping entre 1 adresse IP publique et une adresse IP interne. Dans la NAT, il n'y a que les adresses IP qui sont modifiées.

Cela correspond à un terme particulier: on appelle ça du NAT 1:1

Tu peux avoir plusieurs adresses IP publiques, du NAT et du PAT, et différents scénarios de gestion de trafic : load balancing, failover, NAT par services, NAT par destinations ...

Et dans la mesure où l'adresse d'un coté du routeur est remplacée par l'adresse du routeur sur un autre coté du routeur, même si une seule IP publique, c'est bien du NAT. Donc les box font du NAT.
On parle aussi de IP masquerading, vieux terme peut être passé de mode.

[Cybher]

en effet, la réponse n'est pas si évidente .
le PAT est une forme de NAT. La différence c'est qu'on fixe un port qu'on natte vers un port (exemple classique : IP publique port 80 --> IP privé port 80)

Au niveau du NAT, il peut y avoir en effet
du NAT 1:1 (nat statique) où à une adresse privée on fait correspondre une adresse publique (enfin je parle d'IP privé et publique mais rien n'empeche que cela soit du privé vers du privé dans les réseaux d'entreprises par exemple)
du NAT 1:N (nat dynamique). Pour plusieurs ip privées, on fait correspondre une IP publique (exemple classique de notre box). Ici contrairement au PAT, on ne définit pas le port

[ciscowarrior]

On peut définir 2 types de NAT: dynamique et statique
Dans le 1er cas la règle de translation n'apparaît dans la table NAT que si la machine dont l'adresse doit être nattée communique avec l'extérieur.
Dans le second cas, la règle est installée dans la table immédiatement.
On peut ensuite distinguer:
-dynamic NAT: 1 vers 1
-dynamic PAT( ou tout autre nom qu'on veut bien lui donner): plusieurs vers 1
-static NAT: 1 vers 1
-static PAT(appelé aussi port forwarding): 1 vers 1
Dans le cas du PAT on translate l'adresse IP et le port tcp/udp

[ram-0000]

Donc si je comprends bien tes définitions, pour une box d'un particulier, on aurait :

• dynamic PAT (ou tout autre nom qu'on veut bien lui donner) plusieurs vers 1 pour tout ce qui est sortant (navigation sur le web par exemple)
  
• static PAT (appelé aussi port forwarding) 1 vers 1 pour ce qui est entrant (rendre un serveur interne visible depuis internet par exemple)

[ciscowarrior]

Exact

[ram-0000]

Je viens de renommer le titre de la question pour un truc plus général (Qu'est-ce que la NAT ?) et je tente une réponse consensuelle. N'hésitez pas à corriger, proposer ou intervenir.

Il est probable qu'il faudra d'autres entrées dans la FAQ au sujet de la NAT car cela couvre de nombreux aspect (ou alors même, il faut un article, si des personnes se sentent l'âme d'un écrivain, qu'elles ne se gênent pas )

Qu'est-ce que la NAT ?

La NAT (pour Network Address Translation) est une technique qui permet de modifier "à la volée" les adresses IP source et/ou destination ainsi qu'éventuellement les ports source et/ou destination d'une trame IP ainsi que les réponses à cette trame.

La NAT peut s'appliquer aux protocoles TCP et/ou UDP et/ou ICMP (sachant que la notion de port n'a pas de sens avec le protocole ICMP)

Dans quel cas utilise-t'on la NAT ?

La NAT s'utilise principalement dans deux cas :
Pour connecter un réseau privé (au sens RFC 1918) avec un réseau publique (Internet). En effet, les adresses IP privées ne sont pas routées sur Internet. Ces adresses IP privées donc être modifiées pour pourvoir accéder à Internet. C'est ce que font toutes les box des particuliers, le réseau interne du particulier est un réseau privé (souvent 192.168.x.x), la box est reliée à Internet avec une adresse IP publique fournie par le FAI (Fournisseur d'accès Internet).
<Un petit schéma ici>

Pour relier deux réseaux d'entreprises qui utilisent le même plan d'adressage. Pour que les clients (au sens IP du terme) de l'entreprise A puissent joindre les serveurs de l'entreprise B et vice versa, il faut mettre en place de la NAT sur les points d'accès des entreprises A et B.
<Un petit schéma ici>

Pourquoi doit-on utiliser la NAT ?

La NAT doit être utilisée car l'espace des adresses IP publiques, bien que grand, n'est pas infini. A l'heure actuelle, il n'est plus possible d'attribuer une adresse IP publique par équipement connecté (ordinateur, tablette, Play Statition, Wii, imprimante, téléphone...). Il faut se restreindre et c'est pourquoi les FAI ne donnent plus qu'une seule adresse IP publique par client et le client doit s'arranger avec cette unique adresse IP publique en l'utilisant au mieux.

La technique de NAT va s'occuper de "partager" cette adresse IP publique avec tous les équipements qui ont besoin de communiquer avec Internet.

Le problème de manque d'adresses IP publiques étant résolu avec IPv6, la NAT ne devrait plus être utilisée avec ce nouveau protocole.

Quelle sont les différents types de NAT ?
issu de wiki

Derrière le mot NAT se cache différentes méthodes et différents fonctionnements :
NAT statique : Où un ensemble d'adresses internes fait l'objet d'une traduction vers un ensemble de même taille d'adresses externes. Ces NAT sont dites statiques car l'association entre une adresse interne et son homologue externe est statique (première adresse interne avec première externe…). La table d'association est assez simple, de type un pour un et ne contient que des adresses. Ces NAT servent à donner accès à des serveurs en interne à partir de l'extérieur.

Il existe trois types de NAT statiques :

• NAT statique unidirectionnel qui transfèrent uniquement les connexions de l'extérieur vers l'intérieur (attention, les paquets de retour sont aussi transférés). Le plus souvent lorsque la machine interne initie une connexion vers l'extérieur la connexion est traduite par une autre NAT dynamique.
• NAT statique bidirectionnel qui transfèrent les connexions dans les deux sens.
• NAT statique PAT (Port Address Translation du port serveur). Conjonction d'une NAT statique uni ou bidirectionnelle et d'une traduction du port serveur. Le nom PAT vient du fait que le port serveur/destination est transféré ; à ne pas confondre avec la NAT dynamique PAT.

NAT dynamique : Où un ensemble d'adresses internes est transféré dans un plus petit ensemble d'adresses externes. Ces NAT sont dites dynamiques car l'association entre une adresse interne et sa contre-partie externe est créée dynamiquement au moment de l'initiation de la connexion. Ce sont les numéros de ports qui vont permettre d'identifier la traduction en place : le numéro du port source (celui de la machine interne) va être modifié par le routeur. Il va s'en servir pour identifier la machine interne.

Il existe plusieurs types de NAT dynamiques :

• NAT dynamique PAT (Port Address Translation du port client/source) où les adresses externes sont indifférentes (le plus souvent la plage d'adresse que votre fournisseur d'accès vous a attribuée). Le nom PAT vient du fait que le port source est modifié ; à ne pas confondre avec la NAT statique PAT.
• Masquerading où l'adresse IP du routeur est seule utilisée comme adresse externe. Le masquerading est donc un sous cas de la dynamique PAT.
• NAT pool de source est la plus vieille des NAT. La première connexion venant de l'intérieur prend la première adresse externe, la suivante la seconde, jusqu'à ce qu'il n'y ait plus d'adresse externe. Dans ce cas exceptionnel le port source n'est pas modifié. Ce type de NAT n'est plus utilisé.
• NAT pool de destination permet de faire de la répartition de charge entre plusieurs serveurs. Peu d'adresses externes sont donc associées avec les adresses internes des serveurs. Le pare-feu se débrouille pour répartir les connexions entre les différents serveurs.

Quelle sont les différents types de NAT utilisés par une box "standard" ?

La box d'un particulier utilise deux types de NAT différents suivant que la connexion initiale est sortante (de l'intérieur vers Internet) ou entrante (de l'Internet vers l'intérieur).

Connexion sortante (de l'intérieur vers Internet) : Dans ce cas, la box fait de la NAT dite NAT dynamique Masquerading PAT. Seule l'adresse IP externe de la box est utilisée avec translation dynamique du port source. Ce type de NAT est utilisé lorsque le client navigue sur Internet ou va lire ses mail par exemple.

Connexion entrante (de l'Internet vers l'intérieur) : Dans ce cas, la box fait de la NAT dite NAT statique PAT. Il s'agit de la conjonction d'une NAT statique unidirectionnelle et d'une traduction du port serveur. Le nom PAT vient du fait que le port serveur/destination est transféré. Ce type de NAT est utilisé lorsque le client souhaite ouvrir un service interne (serveur WWW par exemple) et le rendre visible d'Internet.

[Miistik]

Je dirais qu'il manque un Pourquoi ?
Cela se lierait sans problème avec un tuto sur le protocole Ip et ses limites.
De plus, cela ouvrirait vers IPv6.

[ram-0000]

Je dirais qu'il manque un Pourquoi ?

, pourquoi rajouté dans le post précédent

[fredoche]

Salut

je ne sais pas si ça rentre dans ta problématique, mais il y a parfois plusieurs étapes de NAT avant d'arriver sur un routeur qui ferait du NAT d'un adressage RFC 1918 vers un adressage public.

Typiquement chez un particulier quand tu rajoutes un PA wifi derrière un modem/routeur pour la connexion internet, tu vas avoir du double NAT.

Certains FAI font du double NAT.

[ram-0000]

je ne sais pas si ça rentre dans ta problématique, mais il y a parfois plusieurs étapes de NAT avant d'arriver sur un routeur qui ferait du NAT d'un adressage RFC 1918 vers un adressage public.

J'ai l'impression que cela rentre dans une problématique plus d'architecture spéciale et de design de l'infrastructure, pas dans une problématique simple (voire simpliste) de FAQ.

Personnellement, à la maison, j'ai une FreeBox avec un point d'accès WiFi et je n'ai pas l'impression qu'il y ait de double NAT pour cela (ou alors c'est totalement transparent et caché dans les entrailles de la box)

Typiquement chez un particulier quand tu rajoutes un PA wifi derrière un modem/routeur pour la connexion internet, tu vas avoir du double NAT.

Je ne suis pas sûr que Mme Michu au fond du Cantal ait cette problématique.

Certains FAI font du double NAT.

Oui, mais restons simple dans la FAQ. Une FAQ est là pour répondre à 90-95% des questions, pas à 100%. Les 5-10% restants, ce sont des besoins particuliers avec des réponses particulières faites par des architectes réseaux (faut bien que l'on garde notre travail ).

[sevyc64]

Il y a quand même quelques confusions dans ce que vous dites.

Ce que l'on appelle couramment NAT, n'est pas en réalité du NAT.

Stricto sensus, le NAT est une translation d'adresse seule. C'est à dire que l'on change l'adresse dans un paquet, mais on ne touche surtout pas au port.
Le PAT est juste le contraire, on change le port, mais on ne touche surtout pas l'adresse.

La PAT, c'est ce que font les box des particuliers. On a une seule adresse IP publique (celle de la box) et plusieurs adresses IP privées. Le dispositif de PAT établit une table de correspondance [ip interne/port interne/port externe] et modifie à la volée les requêtes (en changeant l'IP source et le port source) et les réponses (en changeant l'IP destination et le port destination).

Ce qu'on appelle NAT sur une box est un terme impropre, on devrait parler de PAT.

NON, et c'est là la confusion, le terme NAT, tout comme le terme PAT sont, ici impropres dans le cas des box.

Ce que l'on appelle couramment NAT, ce que font les box ADSL est en fait, et c'est ce terme que l'on devrait utiliser mais que l'on ne fait pas, du NPAT (ou PNAT comme vous voulez), c'est à dire, à la fois de la translation d'adresse mais aussi de la translation de port, une combinaison de NAT et PAT dans la même translation.

[Cybher]

Il y a quand même quelques confusions dans ce que vous dites.

Ce que l'on appelle couramment NAT, n'est pas en réalité du NAT.

Stricto sensus, le NAT est une translation d'adresse seule. C'est à dire que l'on change l'adresse dans un paquet, mais on ne touche surtout pas au port.
Le PAT est juste le contraire, on change le port, mais on ne touche surtout pas l'adresse.

Hello,

en tout cas pas pour moi, le NAT est un ensemble de mécanismes de translations. Pour moi le PAT est juste un "type" de NAT

[ram-0000]

Je suis assez d'accord maintenant

Nat = mecanisme general qui comprend :
Nat : changement d adresse
Pat : changement de port

[Miistik]

Nat = mecanisme general qui comprend :
Nat : changement d adresse
Pat : changement de port

On pourrait dire :

Nat = mécanisme général qui comprend éventuellement
-changement d'adresse
-changement de port

Les deux ne sont pas forcément présent.