Network Address Translator (ou Translation) : traducteur (traduction) d'adresses
réseau.
Besoin
- Mutualiser les adresses IP publiques
- Masquer les adresses IP des appelants
Conception
Un périphérique (routeur, machine) constitue une interface entre :
- le réseau public (Internet typiquement) où les machines ont des adresses publiques déposées
- le réseau privé ou stub domain (un LAN typiquement) où les machines ont des adresses
privées utilisées uniquement en interne.
Le NAT peut être :
- statique : remplacement d'une adresse publique par une adresse privée. Utile pour les machines
qui doivent être contactées depuis l'extérieur.
- dynamique : remplacement d'une adresse publique par une adresse privée non utilisée dans un
groupe d'adresses privées disponibles.
- surcharge (overloading) : remplacement d'une adresse publique par une adresse
privée vers un port non utilisé dans un groupe de ports disponibles sur cette adresses privée. Cette méthode
utilise la fonctionnalité multiplexage de TCP/IP.
- recouvrement (overlapping) : remplacement d'une adresse publique par une adresse
privée selon une table de conversion.
Notes
- Développé par Cisco en 1994.
- Défini par la RFC 1631
- On utilise souvent les termes "natter" ou "naté(e)(s)" en français.
- Intéressant quand de nombreux postes ne nécessitent rien d'autre qu'un accès externe.
- Souvent utilisé comme moyen de sécurité via à son "obscurcissement" des infos.
- Très bien adapté avec DHCP (qui distribue des adresses internes à volonté).
- Différents des serveurs proxies car
opérant au niveau réseau (OSI 3) et non transport (OSI 4). Cela le rend
- plus performant
- plus transparent (pas de configuration nécessaire pour le client), simplifiant ainsi l'administration réseau
:
- on peut changer l'adresse réelle/physique d'une machine accédée sans changer l'adresse accédée par les
clients).
- les adresses internes peuvent varier sans dépendances au réseau public
Limitations
- Rend impossible certaines opérations (XWindows par exemple)
- souvent substitut à une bonne conception de réseau (plus facile à mettre en place pour faire de la sécurité que
de configurer correctement un réseau par exemple).