Les réseaux privés utilisent des plages d'adresses IP qui ne sont pas routées sur Internet (RFC 1918).

Le mécanisme de NAT (Network Address Translation) permet de modifier les adresses IP source/destination et les ports source/destination d'un paquet IP pour permettre :

• à des ordinateurs d'un réseau privé d'accéder à Internet : il sagit du NAT dynamique ou NAPT ;
• d'accéder depuis internet à des serveurs d'un réseau privé : il s'agit du NAT Statique :
  • par redirection de port ;
  • ou par association d'une adresse IP publique à une adresse IP privée.

Objectif : Translater un réseau privé en une (ou plusieurs) adresse IP publique

• le paquet IP prevenant d'un ordinateur du réseau privé est modifié par le pare-feu :
  • l'adresse IP source privée de l'ordinateur est remplacée par l'adresse IP publique du pare-feu
  • le port source de l'ordinateur est remplacé par un port dans la plage [20 000 - 59 9999].

Le pare-feu garde mémoire de la correspondance de translation entre (l’adresse IP « @privA »/port source « xxxx ») et (l’adresse IP « @pubfw »/port source 20000). Cette correspondance est utilisée pour translater les réponses en provenance du serveur WEB en remplaçant (l’adresse IP destination « @pubfw »/port destination 2000) par (l’adresse IP destination « @privA »/port destination « xxxx »).

• Mise en oeuvre de l'UTM Stormshield