Cherchez « quelle est mon adresse IP » sur votre téléphone et notez le numéro. Faites maintenant la même chose sur votre ordinateur portable ── curieusement, vous obtenez exactement la même valeur. Des appareils différents, la même adresse. Ce qui travaille derrière ce petit mystère, c’est le protagoniste du jour : le NAT. Si l’une de ces situations vous parle, poursuivez votre lecture.
- Vous ne savez pas pourquoi tous les appareils de la maison renvoient la même « mon adresse IP »
- Un jeu en ligne vous a demandé de « vérifier votre type de NAT » et vous êtes resté sans voix
- Vous avez voulu héberger un serveur personnel ou de jeu et on vous a dit qu’il fallait « ouvrir un port »
- Vous avez entendu que « rien ne peut atteindre vos appareils depuis l’extérieur », mais vous ne sauriez pas expliquer pourquoi
Le NAT (Network Address Translation : traduction d’adresses réseau) est, en une phrase, le guichet de traduction qui permet à tous les appareils de votre maison ── ou de votre bureau ── de partager une seule adresse IP globale. Mais cette phrase, à elle seule, n’explique pas pourquoi le trafic venu de l’extérieur ne peut pas vous atteindre, ce qu’« ouvrir un port » ouvre exactement, ni ce que le « type de NAT » d’un jeu en ligne diagnostique vraiment.
Cet article laisse entièrement de côté la configuration du routeur et parcourt :
- Pourquoi le NAT existe ── 4,3 milliards d’adresses n’ont pas suffi (§1)
- Le registre du guichet ── ce que le NAT réécrit vraiment (§2)
- Pourquoi rien ne vous atteint depuis l’extérieur ── défense et inconvénient, deux faces d’une même structure (§3)
- L’ouverture de ports ── écrire à la main une ligne permanente dans le registre (§4)
- Là où le NAT coince ── les « types de NAT » des jeux, le NAT d’opérateur et les limites du registre (§5)
── en prenant le chemin le plus court à travers la logique de son fonctionnement, et rien d’autre.
| Votre question | Section |
|---|---|
| Pourquoi tous mes appareils renvoient-ils la même IP ? | §1 |
| Que fait concrètement le NAT ? | §2 |
| Pourquoi rien ne peut-il atteindre mes appareils depuis l’extérieur ? | §3 |
| L’ouverture de ports, c’est quoi au juste ? | §4 |
| Que vérifie le « type de NAT » d’un jeu ? | §5 |
Cet article est le deuxième volet d’approfondissement de notre série « comment votre PC fonctionne vraiment » (adresses IP, DNS, pare-feu, pourquoi le réseau du bureau est lent et VPN). Le NAT a déjà fait des apparitions dans quatre de ces articles ── voici l’épisode où le second rôle récurrent décroche enfin le premier rôle.
1. Pourquoi le NAT existe ── 4,3 milliards d’adresses n’ont pas suffi
1-1. Si les adresses manquent, on les partage
Comme nous l’avons vu dans l’article sur les adresses IP, IPv4 ne compte qu’environ 4,3 milliards d’adresses en tout ── même pas une par être humain. À une époque où chacun possède un téléphone, un ordinateur portable, un téléviseur et une console, c’est très loin de suffire.
Une solution provisoire s’est donc répandue dans le monde entier : chaque foyer n’emprunte qu’une seule adresse valable sur tout l’internet (une IP globale) et, à l’intérieur, les appareils utilisent des adresses qui ne valent qu’à l’intérieur de la maison (des IP privées). Chaque appareil du foyer reçoit une IP privée comme 192.168.1.10 (distribuée automatiquement par un mécanisme appelé DHCP).
1-2. Le standard téléphonique et les postes internes
Ce qui relie ces deux étages d’adresses, c’est le routeur posté à la porte d’internet de votre maison ── ou, plus précisément, le NAT que le routeur fait tourner en coulisses. Pensez au standard téléphonique d’une entreprise. Le monde extérieur ne connaît qu’un seul numéro ; à l’intérieur, chaque bureau a son poste interne. Tout appel sortant semble venir du numéro du standard ── l’IP globale est le standard, et une IP privée plus un port est le poste interne.
Une IP globale, partagée par tous
Dans la maison (IP privées) L'adresse montrée au monde
Téléphone 192.168.1.10 ──┐
PC 192.168.1.11 ──┼─→ routeur ──→ 203.0.113.5 (une seule)
Console 192.168.1.30 ──┘ (NAT = guichet de traduction)
= le poste interne de chaque bureau = le numéro du standard
1-3. Voilà pourquoi « mon IP » est la même sur tous les appareils
Le mystère de l’introduction est résolu. Ce que le web extérieur voit, c’est l’unique IP globale que tout votre foyer partage. Que vous vérifiiez depuis le téléphone ou l’ordinateur, ce qui revient est le numéro du standard de la maison ── d’où la même valeur.
Le NAT s’est répandu comme un pis-aller face au « nous n’avons plus d’adresses ». Le pis-aller est ensuite devenu le paysage standard d’internet, et a même produit un mur défensif (§3) par effet secondaire ── cette ascension imprévue est ce qui rend le NAT si intéressant.
2. Le registre du guichet ── ce que le NAT réécrit vraiment
2-1. À l’aller ── réécrire, puis consigner
Disons que votre téléphone (192.168.1.10) part visiter un site web. Il ne peut pas y aller tel quel. Une IP privée n’est valable qu’à l’intérieur de la maison : si l’expéditeur reste 192.168.1.10, le monde extérieur n’a aucun moyen d’adresser une réponse.
Le NAT (le guichet) réécrit donc l’expéditeur au passage. Il ne gère pas seulement l’adresse IP mais aussi le numéro de port (les « guichets » numérotés de 0 à 65535 qui subdivisent une même adresse IP ── les postes internes, dans notre métaphore), et il consigne dans un registre ── la table NAT ── quel trafic de quel poste interne a été affecté à quel guichet côté extérieur.
2-2. Au retour ── consulter le registre, réécrire en sens inverse
La réponse du site web arrive adressée au « guichet 40001 de 203.0.113.5 ». Le guichet consulte le registre à l’envers ── « le 40001 était affecté au port 51000 du téléphone » ──, réécrit la destination vers l’IP privée et livre le tout.
La table NAT ── consigner à l'aller, consulter au retour
Aller :
Téléphone 192.168.1.10:51000 ──→ guichet ──→ 203.0.113.5:40001 ──→ site web
│
└─ consigné au registre
192.168.1.10:51000 ⇔ 203.0.113.5:40001
Retour :
Site web ──→ 203.0.113.5:40001 ──→ guichet « d'après le registre… » ──→ 192.168.1.10:51000
Les points clés : une ligne du registre n’est écrite que lorsqu’une connexion démarre de l’intérieur, et une fois la conversation terminée, la ligne finit par être effacée. Si tous les appareils de la maison peuvent être en ligne en même temps, c’est que le guichet attribue des numéros de guichet distincts et répète ce cycle consigner-consulter, sans relâche.
considérer le NAT comme « une fonction du boîtier du routeur domestique ». Le NAT, c’est en réalité l’exploitation de ce registre, et peu lui importe où il tourne. Le partage de connexion de votre téléphone, l’équipement de sortie de votre bureau et le matériel d’opérateur que nous verrons plus loin (§5) sont le même guichet de traduction, fonctionnant sur le même principe.
3. Pourquoi rien ne vous atteint depuis l’extérieur ── défense et inconvénient, deux faces d’une même structure
3-1. Pas de ligne au registre ? Il ne reste qu’à jeter
Jusqu’ici, nous avons parlé des connexions qui démarrent de l’intérieur. Et une connexion qui démarre de l’extérieur ── quelqu’un, dehors, qui s’adresse soudain à 203.0.113.5 ?
Le guichet consulte le registre. Mais personne à l’intérieur n’a entamé cette conversation : aucune ligne ne correspond, nulle part. La maison contient un téléphone, un PC, une console ── et aucun moyen de décider quel poste interne doit prendre l’appel. Comme un appel au standard qui ne nomme aucun employé, un trafic sans destinataire connu ne peut qu’être jeté.
Une connexion venue de l'extérieur n'a pas de ligne au registre
Quelqu'un dehors ──→ vers 203.0.113.5 ──→ guichet : « pas au registre ── aucune idée du destinataire » ──→ ✕ jeté
Cette unique structure a deux visages :
├─ le visage défensif : rien ne s'introduit depuis l'extérieur (le « premier mur » de l'article sur le pare-feu)
└─ le visage gênant : votre serveur personnel et les serveurs du bureau sont inaccessibles eux aussi
(c'est pour cela qu'existent l'ouverture de ports et les VPN)
3-2. Le visage défensif ── « la forteresse accidentelle »
Vue comme défense, cette propriété d’« inaccessibilité » est remarquablement solide. C’est exactement ce que l’article sur le pare-feu appelait « mur n° 1 : le routeur NAT » ── les attaques et balayages indiscriminés lancés de l’extérieur sont jetés comme non distribuables, structurellement, avant même d’atteindre un appareil de votre maison. Il n’a jamais été conçu comme défense, et pourtant il finit en bouclier ── c’est pourquoi on surnomme le NAT la forteresse accidentelle.
3-3. Le visage gênant ── le trafic légitime n’entre pas non plus
Mais la même structure se mue aussitôt en inconvénient. Vous montez un serveur de jeu chez vous et voulez inviter des amis. Vous voulez atteindre le serveur de fichiers du bureau depuis chez vous. Ce sont deux « connexions qui démarrent de l’extérieur » : elles sont jetées exactement de la même façon, avec ou sans malveillance. Le registre ne juge pas le bien et le mal. Pas de ligne, pas de livraison ── c’est tout.
Il existe deux façons légitimes de franchir ce mur. La première est un VPN ── garder un tunnel ouvert depuis l’intérieur, pour détenir une adresse intérieure tout en étant dehors. La seconde est le sujet de la section suivante : l’ouverture de ports ── écrire une exception directement dans le registre.
Ni la défense ni l’inconvénient ne sont voulus par le NAT. Une seule structure ── un trafic sans ligne au registre ne peut pas être transmis ── agit comme bouclier sous un angle et comme mur sous l’autre. Cette double face est la chose la plus importante à comprendre du NAT.
4. L’ouverture de ports ── écrire à la main une ligne permanente dans le registre
4-1. Pas « percer un trou » ── ajouter une règle de transfert
L’ouverture de ports (aussi appelée redirection de ports ou port forwarding) sonne comme percer un trou dans un mur, mais ce qui se passe réellement est bien plus administratif : vous écrivez à la main, dans le registre, une ligne permanente disant « tout trafic adressé à ce numéro de guichet de l’IP globale est transféré, toujours, vers ce guichet de cet appareil à l’intérieur » ── et c’est tout.
Ouverture de ports ── une ligne permanente écrite à la main
Une ligne normale (écrite automatiquement, effacée à la fin de la conversation)
192.168.1.10:51000 ⇔ 203.0.113.5:40001 ← trace d'une connexion démarrée à l'intérieur
Une ligne d'ouverture de port (écrite à la main, jamais effacée)
vers 203.0.113.5:25565 ──→ toujours transférer à 192.168.1.30:25565 (la console)
│
└─ même les connexions démarrées dehors passent, tant qu'elles correspondent à cette ligne
Là où les lignes du registre du §2 étaient des « traces temporaires de connexions démarrées à l’intérieur », une ligne d’ouverture de port est « une place réservée permanente pour les connexions qui démarrent dehors ». Désormais, un ami sur internet peut frapper au port 25565 de votre IP globale et atteindre le serveur de jeu à l’intérieur de votre maison.
4-2. Ce qui se trouve derrière ce port est, de fait, hors du mur
Mais il faut comprendre précisément ce que signifie cette ligne. Le trafic vers un port ouvert est transmis à l’appareil désigné sans distinction entre le bien et le mal. Comme l’a montré l’article sur le pare-feu, toute adresse IP joignable publiquement est arrosée en continu de balayages indiscriminés. Dès l’instant où vous ouvrez le port, cet appareil n’est plus dans la zone sûre derrière le mur ── il est dans la ligne de mire des scanners.
l’ouverture de port oubliée. La ligne d’un serveur de jeu abandonné depuis longtemps reste dans le registre et, des mois plus tard, une faille apparaît sur cet appareil ── un accident classique. La règle de l’ouverture de ports : « transférer vers le minimum, et supprimer la ligne une fois terminé ». C’est aussi l’un des « cinq moments où les murs disparaissent » de l’article sur le pare-feu.
Beaucoup de routeurs domestiques embarquent l’UPnP (un mécanisme qui permet à une application de demander elle-même au routeur d’écrire une ligne d’ouverture de port, automatiquement). C’est grâce à lui que consoles et appels vidéo « marchent tout seuls » sans configuration ── mais retournez l’argument : des lignes s’écrivent dans votre registre sans que vous le sachiez. Un échange qu’il vaut mieux connaître.
5. Là où le NAT coince ── les « types de NAT », le NAT d’opérateur et les limites du registre
5-1. Le « type de NAT » des jeux en ligne ── un diagnostic de joignabilité
Le « type de NAT » affiché par les jeux en ligne est un diagnostic : deux parties, toutes deux derrière un NAT, peuvent-elles se parler directement (pair à pair, P2P), sans serveur au milieu ? Votre adversaire est derrière le guichet de sa maison, et vous derrière le vôtre. Autrement dit, « les connexions venues de l’extérieur sont jetées » (§3) s’applique aux deux à la fois ── et parfois aucun des deux ne parvient à joindre l’autre.
Le verdict exprime en gros une échelle de joignabilité ── de « restrictions souples, le P2P s’établit facilement » à « le P2P n’aboutit presque jamais ». Les noms (type A/B/C, type 1/2/3, ouvert/modéré/strict, etc.) sont des étiquettes maison propres à chaque fabricant, pas des termes techniques normalisés. La bonne lecture n’est pas le nom mais la structure : « quelle marge mon guichet laisse-t-il pour laisser passer, à titre d’exception, du trafic initié dehors ? »
5-2. Le NAT d’opérateur (CGNAT) ── deux guichets de traduction
Ce schéma est de plus en plus courant. La pénurie d’IP globales est si sérieuse que certains opérateurs ne distribuent même plus « une par foyer » ── ils placent une couche de NAT supplémentaire dans le réseau de l’opérateur et font partager une même IP globale à plusieurs abonnés. Cela s’appelle le CGNAT (NAT de classe opérateur).
CGNAT ── deux guichets de traduction
Appareils ──→ routeur maison ──→ NAT opérateur ──→ internet
192.168.1.10 (guichet n° 1) (guichet n° 2) 203.0.113.5
(partagée avec d'autres abonnés)
Même en configurant l'ouverture de ports sur votre routeur…
dehors ──→ 203.0.113.5:25565 ──→ n° 2 : « pas au registre » ──→ ✕ jeté ici même
(vous ne pouvez rien écrire dans le registre du n° 2)
Dans cette configuration, ouvrir des ports sur votre routeur ne vous rend pas joignable depuis l’extérieur. Le trafic entrant est d’abord jeté au guichet n° 2 ── celui de l’opérateur ── et ce registre vit dans l’équipement de l’opérateur, où vous ne pouvez rien écrire. C’est le coupable classique du « ma configuration est parfaite et ça ne marche toujours pas ».
5-3. Les limites du registre, et un mot sur IPv6
Le registre n’est pas infini. Il a un nombre maximal de lignes et, à mesure que les appareils et les connexions cloud se multiplient, un registre plein signifie que les nouvelles connexions ne peuvent plus s’ouvrir et que les existantes se coupent ── des ennuis avec zéro panne matérielle. La façon dont cet épuisement se manifeste en « réseau du bureau lent » est illustrée dans le §5 de Pourquoi le réseau de l’entreprise est-il lent ?.
Et dans le monde d’IPv6, où les adresses abondent au point d’en donner plusieurs à chaque personne, le NAT-pour-partager devient inutile par principe. Mais le rôle défensif que « inaccessible depuis l’extérieur » (§3) jouait discrètement ne disparaît pas pour autant ── un pare-feu reprend ce travail, explicitement. Pour la situation des adresses IPv4/IPv6, voyez le §7 de l’article sur les adresses IP.
Résumé ── l’essentiel en quatre lignes
- Le NAT est le guichet de traduction qui permet à tous de partager une IP globale ── voilà pourquoi chaque appareil de la maison renvoie la même « mon IP » : c’est le numéro du standard
- Le mécanisme central est le registre (la table NAT) ── les connexions démarrées à l’intérieur sont consignées en « IP + port », les réponses sont réécrites par consultation inverse, et un trafic sans ligne au registre ne peut qu’être jeté
- Cette « inaccessibilité » est à la fois défense (le premier mur) et inconvénient (serveurs de la maison et du bureau injoignables) ── deux faces d’une même structure. Les voies légitimes pour la franchir : les VPN et l’ouverture de ports
- Ouverture de ports = une ligne permanente au registre. Ce qui est derrière entre dans la ligne de mire des scanners : le minimum nécessaire, donc. Et si vous restez injoignable, soupçonnez le CGNAT (un second guichet) et l’épuisement du registre
La structure d’adresses à deux étages est traitée dans Qu’est-ce qu’une adresse IP ?, la face défensive du mur se poursuit dans Que se passe-t-il sans pare-feu ?, franchir le mur depuis l’intérieur, c’est Qu’est-ce qu’un VPN ?, et la lenteur née de l’épuisement du registre se trouve dans Pourquoi le réseau de l’entreprise est-il lent ?. Le second rôle récurrent de la série devrait maintenant relier le tableau entier.
FAQ
Q1. Pourquoi tous les appareils de ma maison renvoient-ils la même « mon adresse IP » ?
R. Parce que ce que le monde extérieur voit, c’est uniquement l’IP globale que tout votre foyer partage ── le numéro du standard (§1). Votre téléphone et votre PC ont chacun leur IP privée à l’intérieur de la maison, mais à la sortie, le guichet (NAT) les réécrit tous vers le même numéro de standard. Un site « quelle est mon IP » répond avec le numéro du standard de votre maison, pas avec l’adresse de votre appareil.
Q2. L’ouverture de ports est-elle dangereuse ?
R. Au sens où « l’appareil derrière le port ouvert devient directement exposé au balayage indiscriminé », le risque augmente réellement (§4-2). Que ce soit dangereux dépend de la manière de faire : maintenez l’appareil cible et ses logiciels à jour, ouvrez le moins de ports possible, supprimez la ligne une fois terminé. Pour un usage où ces règles sont tenables (un serveur de jeu actif seulement pendant que vous jouez, par exemple), le risque est gérable. Si vous ne pouvez pas les tenir, n’ouvrez pas le port.
Q3. Qu’est-ce qui améliore vraiment le « type de NAT » d’un jeu ?
R. Structurellement, ce qui aide, c’est tout ce qui « donne à votre guichet plus de marge pour laisser passer, à titre d’exception, du trafic initié dehors » ── ouvrir les ports concernés ou activer l’UPnP sont les exemples classiques (§4). Mais dans un environnement CGNAT (§5-2), aucun réglage côté maison ne vous rendra joignable ; il faudra peut-être passer à une offre ou un opérateur qui vous attribue une IP globale individuelle. Les étapes concrètes varient selon le routeur et le contrat : cet article s’en tient à l’explication structurelle.
Q4. Le NAT disparaîtra-t-il avec IPv6 ?
R. Son travail d’origine ── partager les adresses ── devient inutile, car IPv6 a assez d’adresses pour que chaque appareil détienne la sienne, globale (§5-3). Mais la défense que le NAT fournissait par effet secondaire ── bloquer structurellement le trafic initié dehors ── ne peut pas se permettre de disparaître avec lui : un pare-feu reprend ce rôle explicitement. La formule exacte à retenir : « le NAT peut partir, le mur reste (et doit rester) ».
Q5. Le NAT est-il aussi la raison pour laquelle je ne peux pas atteindre le serveur interne de mon entreprise depuis l’extérieur ?
R. C’est l’une des raisons principales. Les serveurs internes n’ont que des IP privées et se trouvent derrière le NAT : impossible de les désigner comme destination depuis l’extérieur (§3). De plus, les entreprises exploitent des pare-feu qui refusent explicitement le trafic initié dehors. Le moyen standard et légitime de franchir les deux est un VPN ── un tunnel ouvert depuis l’intérieur qui vous permet de détenir une adresse interne tout en étant dehors. Le mécanisme est illustré dans Qu’est-ce qu’un VPN ?.
Laisser un commentaire