Il y a quelques jours je vous disais qu’il n’était pas forcément simple pour un néophyte de configurer le NAT de sa Freebox, pour laisser entrer des connexions ! Et bien, figurez-vous que c’est maintenant beaucoup plus facile, car la Freebox est compatible UPnP. Kesako ?
L’UPnP est un protocole réseau (Universal Plug and Play) qui permet à un logiciel d’ouvrir et de fermer les ports d’un routeur. Il fait tout, tout seul comme un grand. Pour l’activer sur votre Freebox, il faut aller sur l’interface de gestion Freebox -> Internet -> Configurer mon routeur Freebox -> Cochez « UPNP activé »
Vous utilisez surement des logiciels compatibles UPnP sans le savoir par exemple :
Personnellement, avant d’avoir essayé ce soir, l’UPnP et moi, ça faisait deux. D’une parce que je n’avais pas de routeur compatible (Freebox oblige) et de deux , parce que j’ai toujours préféré faire tout à la main.
J’avoue que l’UPnP a quelques avantages. Si vous avez plusieurs ordinateurs à la maison, pas besoin de tous les configurer sur le routeur. Idem si vous avez des ordinateurs invités. Pour les gens qui n’y connaissent pas grand-chose, c’est aussi vachement pratique. À condition qu’on leur dise d’activer l’UPnP sur le routeur et dans leur logiciel…
Mais j’ai découvert que l’UPnP avait ses détracteurs. Eh oui, quand on y pense . N’importe quel logiciel connecté au réseau peut ouvrir les ports du routeur comme cela lui chante et laisser rentrer n’importe qui. Quand il s’agit de softs connus et fiables pas de problème, mais qu’en est-il de tous les autres ? Et si vous chopez un virus, qui s’amuse à ouvrir tous les ports ?
Du coup, je suis un peu plus mitigé, d’accord il ne faut pas être parano, mais il vaut mieux être trop prudent que pas assez. Je vais continuer à faire comme je faisais avant 🙂
Évident pour certains, ça l’est moins pour d’autres.
Tout est dit ou presque dans le titre, mais je vais quand même développer. On n’est pas sur Twitter🙂
Quand vous démarrez votre box Internet, votre FAI vous donne une seule IP publique, et c’est grâce à cette IP publique que vous existez sur Internet. Quand vous visitez une page, le site web est capable de vous l’envoyer, car votre ordinateur est connu grâce à son IP publique.
Maintenant, si vous êtes plusieurs à vous connecter sur Internet, vous aurez besoin de plusieurs IP publiques non ? Vous n’avez pas le choix, il n’y a pas beaucoup d’IPv4 alors les FAI en donnent une par abonné. Il va falloir faire avec.
C’est maintenant que le mode routeur de la freebox (et des autres box) entre en jeu ! Seul la box a une IP publique, tous les ordinateurs derrière elle ont une IP privée (192.168.0.X).
Quand un ordinateur demande une page sur Internet, la freebox sauvegarde dans une table quelle IP privée a fait la demande, ensuite elle contacte le serveur web à sa place, reçoit la page, regarde dans sa table qui a demandé cette page et l’envoie à l’ordinateur.Voilà le principe en gros. Si vous voulez plus d’infos, allez sur google et cherchez routeur 🙂
Vous l’aurez compris, un ordinateur privé ne peut pas être contacté par un autre ordinateur du réseau Internet. Pourqu’un ordinateur privé puisse communiquer avec un autre ordinateur sur Internet, il faut qu’il initie la communication. C’est pour cela qu’un ordinateur connecté en IPv4 derrière un routeur est prôtégé, il n’a pas besoin de firewall (pare-feu).
Ce système marche parfaitement si vous surfer sur Internet (mode client) mais ne marche pas sur vous voulez jouer le rôle d’un serveur.
C’est là qu’est né le NAT (Network address translation ou Redirections de ports). Par exemple si vous voulez avoir un serveur web HTTP sur votre ordinateur privé, vous devez configurer votre routeur pourqu’il redirige les connexions entrantes du port 80 vers votre ordinateur. En règle général, un particulier ne lance pas de serveur Web, mais il fait du P2P. Et dans ce cas là vous aurez besoin de faire du NAT. La mule avec les yeux bandés (Low ID), cela ne vous dit rien ? :-p
Bref, tout ça pour dire quoi ? Et bien que l‘IPv6 est censée simplifier tout cela ! Pourquoi ? Parce que si en IPv4 le FAI nous donne seulement une IP publique, en IPv6, ce sont plusieurs centaines de milliers ! Largement de quoi faire !
Donc quand on est connecté en IPv6, chaque ordinateur du réseau domestique a une IP publique, cela veut dire que chaque ordinateur est visible sur Internet ! Si quelqu’un de votre famille décide de lancer un serveur Web sur son PC, ce n’est pas seulement les ordinateurs de la maison qui auront accès, mais tout Internet ! (à condition que les internautes eux aussi utilisent une connexion IPv6)
La freebox joue parfaitement son rôle, j’avais un doute là-dessus. Je pensais que la connexion IPv6 était quand même protégée par le mode routeur. Il m’a suffit de faire un test simple à partir d’un serveur Linux se trouvant sur Internet. J’ai lancé cette commande :
# nmap -6 [monipv6]
Starting Nmap 4.53 ( http://insecure.org ) at 2009-03-17 22:49 CET
Interesting ports on 2a01:e35:xxxxxxxxxxxxxx
Not shown: 1711 closed ports
PORT STATE SERVICE
135/tcp open msrpc
1025/tcp open NFS-or-IIS
Wow pas cool, deux services windows sont visibles ! Si je fais le test en IPv4, voici le résultat :
Nmap done: 1 IP address (0 hosts up) scanned in 2.019 seconds
Rien n’est visible, tout est bien protégé.