Skip to content

Qu'est-ce que le NAT, et en quoi le PAT en diffère-t-il ?

Réponse courte

Le NAT (Network Address Translation) réécrit l'IP source et/ou destination à mesure que les paquets franchissent une frontière, mappant généralement des adresses internes privées vers des publiques. Le PAT (Port Address Translation, ou NAT overload) étend cela en traduisant aussi les ports, laissant de nombreux hôtes internes partager une seule IP publique — chaque flux distingué par son port. Le PAT est ce que les routeurs domestiques et de bureau utilisent pour placer tout un LAN derrière une seule adresse.

Le NAT existe principalement parce que les adresses IPv4 sont devenues rares : il n'y a pas assez d'adresses publiques pour chaque appareil, donc les organisations utilisent des plages privées en interne et les traduisent en adresses publiques à la périphérie. Connaître la distinction NAT/PAT montre que vous comprenez comment les réseaux réels atteignent Internet.

Le NAT simple

La Network Address Translation réécrit les adresses IP dans les en-têtes des paquets à mesure qu'ils franchissent un routeur ou un pare-feu. Le NAT statique mappe une adresse privée à une adresse publique (utile pour un serveur qui doit être joignable). Le NAT dynamique mappe un pool d'adresses privées à un pool de publiques. Dans les deux cas, la traduction est IP vers IP.

Le PAT (NAT overload)

La Port Address Translation est la version que presque tout le monde utilise réellement. Elle mappe de nombreux hôtes internes vers une seule IP publique en traduisant aussi le port source. L'équipement NAT tient une table de traduction indexée par la combinaison de l'IP interne, du port interne et d'un port externe unique. Le trafic de retour est réassocié au bon hôte grâce à cette table. C'est ainsi qu'un réseau domestique entier navigue sur le web via une seule adresse attribuée par le FAI.

Effets de bord en sécurité

Le NAT est parfois appelé sécurité par accident : comme les connexions entrantes n'ont par défaut aucun mappage, les hôtes derrière le PAT ne sont pas directement joignables depuis l'extérieur. C'est un effet de bord utile, pas un pare-feu — il ne fournit aucune inspection ni politique, et dès qu'un hôte initie du trafic sortant, le chemin de retour est ouvert. Pour exposer délibérément un service interne, vous configurez une redirection de port (un mappage entrant statique). Le NAT casse aussi les protocoles qui intègrent des IP dans leur charge utile (SIP, FTP), nécessitant des ALG pour les corriger.

Les recruteurs attendent la distinction IP seule vs IP+port, que le PAT est ce qui partage une seule IP publique, et la mise en garde que le NAT n'est pas un contrôle de sécurité.

Questions de suivi probables

  • Pourquoi le NAT est-il souvent décrit comme une « sécurité par accident » plutôt qu'un vrai contrôle ?
  • Comment la redirection de port permet-elle à une connexion entrante d'atteindre un hôte derrière le NAT ?
  • Quels problèmes le NAT crée-t-il pour des protocoles comme SIP ou pour la connectivité de bout en bout ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.