Déclenchement de port
Le déclenchement de port ou port triggering en anglais est une option de configuration sur un routeur qui gère la traduction d'adresses IP (NAT) et qui permet à une machine hôte de faire une redirection de port dynamique et automatique (déclenchée sur condition de règle) sur un port spécifique .
En d'autres termes, le déclenchement de port ouvre un port entrant lorsqu'un ordinateur utilise un port sortant pour un trafic particulier.
---(Traduction automatique de la page en anglais↓)---
Le déclenchement de port est une option de configuration sur un routeur NAT qui contrôle la communication entre les machines hôtes internes et externes dans un réseau IP. Il est similaire au transfert de port en ce sens qu'il permet le transfert du trafic entrant vers une machine hôte interne spécifique, bien que le port transféré ne soit pas ouvert en permanence et que la machine hôte interne cible soit choisie dynamiquement[1],[2],[3].
Description
[modifier | modifier le code]Lorsque deux réseaux communiquent via un routeur NAT, les machines hôtes sur le réseau interne se comportent comme si elles avaient l'adresse IP du routeur NAT du point de vue des machines hôtes sur le réseau externe. Sans règles de transfert de trafic, il est impossible pour une machine hôte sur un réseau externe (hôte B) d'ouvrir une connexion à une machine hôte dans le réseau interne (hôte A). En effet, la connexion ne peut être ciblée que sur l'adresse IP du routeur NAT, car le réseau interne est caché derrière le NAT. Avec le déclenchement de port, lorsqu'un hôte A ouvre une connexion à un hôte B en utilisant un port ou des ports prédéfinis, tout le trafic entrant que le routeur reçoit sur un ou plusieurs ports prédéfinis est transféré vers l'hôte A. Ceci est l'événement déclencheur pour la règle de transfert. La règle de transfert est désactivée après une période d'inactivité. [2]
Le déclenchement de port est utile pour les applications réseau dans lesquelles les rôles client et serveur doivent être activés pour certaines tâches, telles que l'authentification pour le chat IRC et le téléchargement de fichiers pour le partage de fichiers FTP .
Exemple
[modifier | modifier le code]À titre d'exemple du fonctionnement du déclenchement de port, lors de la connexion à IRC (Internet Relay Chat), il est courant d'authentifier un nom d'utilisateur avec le protocole Ident via le port 113.
Lors de la connexion à IRC, l'ordinateur client établit généralement une connexion sortante sur le port 6667 (ou tout autre port de la plage 6660-7000), ce qui oblige le serveur IRC à vérifier le nom d'utilisateur donné en rétablissant la connexion à l'ordinateur client port 113. Lorsque l'ordinateur est derrière un NAT, le NAT supprime silencieusement cette connexion car il ne sait pas à quel ordinateur derrière le NAT il doit envoyer la demande de connexion. Ces deux connexions au niveau du transport sont nécessaires pour que la connexion au niveau de l'application au serveur IRC réussisse (voir Suite de protocole Internet ). Étant donné que la deuxième connexion TCP / IP n'est pas possible, la tentative de connexion au serveur IRC échouera.
Dans le cas du déclenchement de port, le routeur est configuré de sorte que lorsqu'une connexion sortante est établie sur un port entre 6660 et 7000, il doit autoriser les connexions entrantes vers cet ordinateur particulier sur le port 113. Cela lui donne plus de flexibilité qu'il n'est pas nécessaire de le configurer pour une adresse spécifique sur votre réseau, ce qui permet à plusieurs clients de se connecter aux serveurs IRC via le routeur NAT. La sécurité est également acquise, dans le sens où le port entrant n'est pas laissé ouvert lorsqu'il n'est pas utilisé activement.
Inconvénients
[modifier | modifier le code]Le déclenchement de port présente l'inconvénient de limiter le port déclenché à un seul client à la fois. Tant que le port est lié à ce client particulier, le déclenchement du port est effectivement indisponible pour tous les autres clients. Dans le partage de fichiers FTP par exemple, cela signifie qu'aucun client ne peut télécharger des fichiers depuis un serveur FTP fonctionnant en "mode actif" simultanément. Pour l'IRC, même si l'étape d'authentification se déroule très rapidement, le délai de déclenchement du port peut empêcher les autres clients de se connecter aux serveurs IRC. Le déclenchement de port ne convient pas aux serveurs situés derrière un routeur NAT, car il dépend de l'ordinateur local pour établir une connexion sortante avant de pouvoir recevoir les connexions entrantes. Sur certains routeurs, il est possible que plusieurs clients utilisent le déclenchement de port et la redirection de port, mais pas simultanément. [ clarification nécessaire ]
Voir aussi
[modifier | modifier le code]Références
[modifier | modifier le code]- « Port Triggering », sur www.webopedia.com
- « Port Triggering on Routers », sur sbkb.cisco.com
- « Difference between Port Forwarding and Port Triggering », sur www.linksys.com