Digression : IP supplémentaire, NAT et PAT

Suite à une réponse de Pascal :

dans ce fil : https://www.debian-fr.org/docker-et-ip-failover-sous-jessie-t51077.html#p509299

J’utilise actuellement sur plusieurs serveurs des jails sous BSD, en règle générale je ne suis pas partisan pour tous rassembler sur une seule machine.
Personnellement j’utilise du NAT et du PAT de façon propre et sans problème.

En quoi le NAT ou le PAT ont-il si mauvaise réputation ?

J’utilise sur une de mes machines virtuelles du NAT et du PAT, je n’utilise que deux IP publiques, dans un but d’économie.
L’utilisation à outrance de PAT avec un reverse proxy me permet d’isoler tous mes principaux vhost et interfaces d’administration accessible via le web, le NAT quant à lui me permet de pouvoir isoler les jails sql, mails, poudrière, git.

L’utilisation de packetfilter me permet de proprement gérer tous ce petits monde sans souci particulier.

Donc en quoi le NAT et le PAT sont-il infâme ?

La première chose qui me vient à l’esprit, si ton routeur “tombe”, tous les services en dépendants ne sont plus accessible.

[quote=“sv0t”]
La première chose qui me vient à l’esprit, si ton routeur “tombe”, tous les services en dépendants ne sont plus accessible.[/quote]

La première réponse qui me viens à l’esprit si mon hôte tombe le fait que je soit en NAT ou pas sera la dernière chose à laquelle je penserai

Il va être intéressant ce sujet

Tu m’étonne, j’ai souvent lu des critiques sur le NAT et le PAT mais je n’ai pour l’instant encore lu aucune critique constructive qui me ferais revoir autrement mes déploiements applicatifs personnel.

Cela aurait été bien que des personnes puisse donner leur point de vue, mais apparemment le sujet n’intéresse pas des masses.

C’est comme l’IP failover, ce terme est à mon goût utilisé de façon biaisé par nombre de fournisseur de service pour signifier une Ip supplémentaire.

L’IP failover est une IP permettant de passer outre une panne, que ce soit dans une infrastructure ‘loadbalancé’ ou de haute disponibilité.
Une IP permettant la bascule rapide de façon plus ou moins transparente et automatique.

Simple : le NAT (au sens large, incluant le PAT) casse la connectivité de bout en bout qui est le paradigme d’internet tel qu’il a été conçu à l’origine. Le NAT ne marche pas nativement avec tous les protocoles, notamment les protocoles un peu complexes ou qui ne sont pas basés sur la notion de “connexion” (au sens large, incluant par exemple une requête DNS ou ping et sa réponse). Pour les plus répandus de ceux-là comme FTP et SIP, il existe des ALG ou “helpers” dans le vocable netfilter qui ont leurs limites (notamment ne fonctionnent pas avec les communications chiffrées ou si on utilise des ports non standard). Pour IPSec qui par définition ne tolère pas la modification des paquets, il a fallu ajouter une couche d’encapsulation dans UDP afin que ça puisse passer à travers le NAT. Alors oui, pour le web et 99% des “internautes” qui n’utilisent que ça, le NAT marche très bien. Mais pour le reste…

Le NAT, ça ajoute de la complexité inutile (donc des bugs) et le coût afférent à tous les étages (réseau, applicatif…). On ne veut pas payer le prix pour des adresses IP supplémentaires, mais on (ou quelqu’un d’autre) le paie autrement avec le NAT car même si des solutions de contournement ont été développées au cours du temps, tout ça a un coût.

Si le NAT ne posait pas tant de problèmes, pensez-vous qu’on aurait dépensé toutes ces ressources à développer IPv6 pour remédier à la pénurie d’adresses IP qui a rendu le NAT nécessaire en IPv4 ?

IPv6… Ce protocole règle tellement de problèmes que je suis toujours aussi abasourdi qu’il ne soit pas la norme depuis des années !
Son support sera en tous cas le critère principal lors de la recherche de mon prochain FAI.