Salut à tous,
 
Ma question est simple. Le one-to-one NAT, qu'est-ce que c'est ? Pourriez-vous me donner un exemple qui illustrerait concrètement :
 
- comment ça marche
- l'intérêt par rapport à une DMZ
 
Je vais continuer à fouiller sur le web, mais pour le moment, je trouve pas grand chose de satisfaisant.
 
Merci de votre aide !

One to One
 
Une adresse IP Public pour un PC interne
 
One to many
 
Une adresse IP Public pour plusieurs PC internes

Merci, mais ca je l'ai bien compris. Ce que je voudrais savoir, c'est a quoi ca peut bien servir concretement, et eventuellement comment est mise en place cette correspondance des adresses.
 
Le seul truc que je vois pour l'instant, c'est qu'avec plusieurs one-to-one, on peut faire l'equivalent de plusieurs DMZ derriere un routeur. Mais a part ca ?
 
Pour le one-to-many, je vois pas grand chose... Ca pourrait avoir un rapport avec le multicast ?  

Le one-to-one te permet simplement de rendre accessible depuis le net une machine de ton LAN.

J'ai bien compris, mais tu peux faire ca aussi avec du port forwarding ou une DMZ ! Quel est l'avantage du one-to-one ?

Bah le port forwarding c'est pareil, oui, si tu forwardes tous les ports !!
Et la DMZ c'est pareil, oui, mais les machines de la DMZ n'ont pas accès au réseau LAN, ce que ta machine peut faire ici.

Le One-To-One, ça te permet de faire du NAT dans le sens propre du terme, c'est à dire pour une adresse IP publique tu fais correspondre une adresse IP de ton LAN.
 
Donc cette IP Publique ne pourra être utilisée que par le poste de ton LAN que tu as spécifié.
Il n'y a donc pas de "filtrage" comme pourrait le faire le NAPT (port forwarding), puisque ton routeur redirige absolument tous les flux en destination de ton IP publique vers la machine de ton LAN.
 
Une DMZ n'a rien à voir et peut très bien être utilisé dans le cas du One-To-One.

 
C'est pas le principe exact d'une machine mise en DMZ derriere un routeur ce que tu decris la ?

Non, une DMZ ce n'est juste qu'un LAN séparé du LAN de tes utilisateurs, ce qui te permet de contrôler les flux qui circulent entre les 2.
 
On peut très bien avec une DMZ et faire du NAPT pour connecter les serveurs de cette DMZ au net.

Ok. Il y a DMZ et DMZ, apparemment...
 
Si, dans le routeur, on specifie explicitement une adresse IP locale d'un serveur a mettre en DMZ (donc ce serveur serait branche sur un port LAN classique et non sur un port physique DMZ dedie), est-il encore necessaire d'ouvrir les ports specifiques a ce serveur pour l'atteindre ?

Heu je comprends pas ta question
 
Sur un routeur, qd tu configures une DMZ normalement tu fais ça au niveau d'une de ces interfaces.

Dans certains routeurs, tu peux definir une DMZ de facon "logique". Si tout ton reseau local est en 192.168.1.0, tu peux par exemple mettre explicitement une machine 192.168.1.10 en DMZ. J'imagine que dans ce cas il n'est pas necessaire de faire du NAPT en plus pour ce qui concerne cette machine.
 

Heu dans ce que tu me décris la DMZ n'a plus aucun sens.
 
Une DMZ est un LAN séparé du reste.

Il faut pas confondre en effet. La DMZ dont parle petoulachi c'est la notion pro de DMZ, "la vrai" ou peut dire aussi.
 
C'est à dire un second LAN derriere un firewall. On peut donc gérer les accès: Internet vers DMZ puis DMZ vers LAN afin d'améliorer la sécurité.
 
Khalys je pense que tu parle plus des pseudo DMZ sur les petits routeurs domestique ou tu choisis de mettre une de tes machine "en DMZ" ce qui fait que ca place simplement cette machine en direct sur internet, contrairement au reste de ton LAN. Mais ca ce n'est pas une "vrai" DMZ.

Bah si, le sens c'est justement d'ouvrir tous les ports pour ce PC. Apres, le routeur peut se debrouiller pour ne pas faire communiquer une telle machine avec le reste du reseau. Ca reste tout a fait envisageable, non ?

 
Non pas si ton LAN est en 192.168.1.0 et ta machine "en DMZ" en 192.168.1.10... car pas besoinb de passer par le routeur pour communiquer...

Oups, je ne pensais plus aux eventuels switchs ou hubs branches sur le routeur.    
 
Bon, si ca se trouve, les routeurs qui definissent une DMZ de cette facon font en fait un abus de language et ne font qu'ouvrir tous les ports sans reellement creer une zone isolee.

Quel est l'interet ?

Bin yen a pas, ce n'est pas une DMZ mais un énorme trou de sécurité sur son LAN qu'on fait dans ce cas

Exemple d'un tel routeur :
 
http://www.linksysdata.com/ui/WRT5 [...] ng-DMZ.htm
 
Le WRT54G n'a pas d'interface DMZ dediee. L'interet est donc sans doute minime : ouvrir tous les ports d'un coup, de facon simple.

Ca doit être un routeur à 3 pattes, qui te proposes 192.168.1.0 pour que ce soit pas sur la même plage d'adresse que le LAN surement.
Donc c'est une vrai DMZ

Je connais ce routeur par coeur, crois-moi. Il ne possede qu'une interface WAN et une interface LAN 192.168.1.0 par defaut.

Peut être qu'il est possible d'ajouter des interfaces réseaux ?

Dans ce cas c'est un abus de langage, la DMZ correspond en fait à un routage par défaut de ton NAPT (lorsqu'un flux arrive sur un port qui n'est pas routé explicitement, si cette "DMZ" est spécifiée le flux lui sera redirigé).

 
C'est bien souvent ca sur les petits routeurs ADSL pas cher !
Rien a voir avec une DMZ donc...

Ou bien tu mets une machine sur une autre plage d'adresse comme ca toutes les bécanes passent par le routeur pour y acceder et on est dans le cas d'une pseudo DMZ, en supposant que les utilisateurs fassent pas de routes a la mano

 
Il faut pouvoir gérer des regles entre le LAN et la DMZ aussi... sinon le fait de passer par un routeur ou non ne change rien à la sécurité...

 
Exact il faut que le routeur ai des fonctions de firewall