Je suppose que vous parlez de deux connexions Internet résidentielles ou commerciales standard (et non d’une ligne louée ou de deux sites reliés par un VPN ou similaire).
Avec l'exemple de réseau ci-dessous, nous avons deux bâtiments et un serveur (n'importe où dans le monde) connectés via Internet. Nous avons deux routeurs - R1 et R2 - chacun ayant un différent Publique Adresse IP (ou " externe " Adresse IP).
Dans les bâtiments, les routeurs et les périphériques partagent tous des adresses IP communes - les routeurs ( R1 et R2 ) utiliser un privé IP de 192.168.0.1et les appareils ( DA et DB ) utiliser un privé IP de 192.168.0.10.
Extérieurement aux bâtiments, les routeurs ont différents Publique Adresses IP - 203.0.113.5 et 203.0.113.219. Le serveur est accessible sur le Publique adresse IP 203.0.113.42.
Il y a une distinction importante entre deux types d’adresses IP ici, plus d’informations peuvent être trouvées sur la page du wiki, " Adresses IP réservées ".
- Réseau public - ceux-ci sont accessibles directement sur Internet
- Remarque: j'ai en fait utilisé un ensemble d'adresses réseau réservées à la documentation plutôt qu'aux adresses publiques réelles.
- Réseau privé - ceux-ci sont uniquement destinés à être utilisés dans un réseau
Pour DA accéder à un serveur ou à un hôte sur Internet (par exemple, 203.0.113.42 ), il a besoin de l'aide d'un routeur - car 203.0.113.42 n'est pas accessible sur le réseau local. Donc, il enverra les paquets au routeur configuré ( R1 ), qui transmettra ensuite les paquets à Internet.
Dans ce cas, le routeur réécrira légèrement le paquet en marquant le " Adresse source "comme R1 Adresse publique de ( 203.0.113.5 ), au lieu de DA Adresse de ( 192.168.0.10 ). Quand un paquet est ensuite retourné à R1, il va vérifier les tables de connexion, réécrire le paquet pour que la destination soit DA à nouveau, et transférez le paquet sur le réseau local.
C'est appelé Traduction d'adresses réseau (NAT), et la réécriture des paquets sortants pour utiliser la propre adresse du routeur est appelée " Mascarade "- C'est-à-dire que tous les paquets sortants semblent provenir du routeur, et non d'un périphérique derrière lui.
Cela permet la communication entre des périphériques d’un réseau privé (par exemple: DA et DB ) et un serveur public sur Internet.
Pour présenter certains services fournis dans le réseau du bâtiment A, nous devons faire R1 ressemble plus au serveur à 203.0.113.42... Pour ce faire, nous introduisons redirection de port .
C’est une technique qui nous permet de configurer R1 accepter les demandes de connexion entrantes sur un port (par exemple 22 pour SSH ) et transmettez-les à un autre hôte du réseau privé desservi.
Dans ce cas, DA a un serveur SSH fonctionnant sur le port 22, donc on configure R1 transférer le port 22 sur son interface externe (c'est-à-dire: 203.0.113.5:22 ) au serveur sur son interface interne (c'est-à-dire: 192.168.0.10:22 ).
Maintenant que nous avons configuré la redirection de port, DB Peut accéder DA le serveur SSH en se connectant à R1 L'adresse publique de ... qui est 203.0.113.5, Port 22. Remarque: DB n'utilise pas ou n'a jamais besoin de savoir DA Adresse IP privée de, et vice-versa.
La traduction de l'adresse réseau sera prise en charge pour vous et la chaîne complète ressemblera à ceci:
DB envoie un paquet à R2 - La source: 192.168.0.10, Destination: 203.0.113.5R2 réécrit le paquet - Source: 203.0.113.219, Destination: 203.0.113.5
R2 envoie le paquet sur Internet, et R1 le reçoit
R1 réécrit le paquet - Source: 203.0.113.219, Destination: 192.168.0.10
R1 envoie le paquet sur le réseau local, et DA le reçoit
Le chemin / réponse de retour est l'inverse:
DA envoie un paquet à R1 - La source: 192.168.0.10, Destination: 203.0.113.219R1 réécrit le paquet - Source 203.0.113.5, Destination: 203.0.113.219
R1 envoie le paquet sur Internet, et R2 le reçoit
R2 réécrit le paquet - Source: 203.0.113.5, Destination: 192.168.0.10
R2 envoie le paquet sur le réseau local, et DB le reçoit
Comme vous pouvez le constater, les adresses privées en collision n’importent pas du tout: aucun appareil ne se trouve jamais dans une situation où 192.168.0.10 est considéré à la fois comme source et destination, ou peut être atteint via deux interfaces. Si cela était vrai, le lien ne fonctionnerait clairement pas.
Quelques notes:
- L’interface de configuration des routeurs varie considérablement. Par conséquent, nous ne pouvons pas vous guider dans la configuration de la redirection de port si vous ne connaissez pas votre routeur.
- En configurant ce type de transfert de ports, votre service sera accessible à l'ensemble de l'internet (sauf si vous configurez également des règles de pare-feu).
- Je vous déconseille fortement de configurer des services non chiffrés (par exemple, Telnet / FTP) de cette manière. Préfère SSH / SFTP.
- Vous doit assurez-vous que vos services sont correctement protégés - par exemple: authentification, limitation de débit, etc.