Je pense qu'il est utile d'utiliser un vocabulaire correct :
- la "translation" (modification) d'adresse n'est pas du "routage"
- donc il est impropre d'appeler "routeur" une NAT-box
- une NAT-box implèmente le "partage d'adresse IP" ce que ne fait pas un routeur
- un routeur est symétrique; une NAT-box est asymétrique : elle délimite l'intérieur (plusieurs IP distinctes) et l'extérieur (IP partagée)
- dans le sens "sortant", c'est à dire quand un dialogue (*) est initié de l'intérieur, on parle de Source-NAT (SNAT)
- dans le sens "entrant", c'est à dire quand un dialogue (*) est initié de l'extérieur, on parle de Destination-NAT (DNAT)
- une "redirection de port" est un DNAT ad-hoc paramétré explicitement par l'utilisateur
- la "DMZ" est un fait un DNAT par défaut de tout ce qui ne correspond à rien de reconnu (un SNAT, une "redirection de port", une connexion localement générée si la box en est capable)
(*) le "dialogue" est la généralisation ad-hoc de la connexion TCP (ou la connexion SCTP) à des protocoles non connectés (UDP...) et à des échanges ICMP (ping/pong/pung)
Il y a en gros trois façon de mettre une SNAT-box perso derrière une PoireBox :
- SNAT-box perso connectée normalement derrière la PoireBox en mode SNAT-box;
donc double SNAT;
la SNAT-box perso ne reçoit aucune connexion entrante, sauf "redirection de port" explicite sur la PoireBox - SNAT-box perso en DNAT-par-défaut de la PoireBox en mode SNAT :
la SNAT-box perso reçoit toutes les connexions entrantes (qui ne sont pas explicitement envoyées ailleurs via une "redirection de port");
- SNAT-box perso reçoit l'adresse IPv4 publique : la SNAT-box perso reçoit tous les paquets destinés à cette adresse IP, sans classification préalable
Encore une fois, la DMZ, ou plutôt Destination-NAT (DNAT) par défaut, peut être :
- inutile : cela ne fait ni de mal ni de bien;
- nécessaire, suffisante : c'est la réponse adéquate au problème posé;
- ou insuffisante : cela ne permet pas de répondre au problème posé;
tout dépend de tes besoins.
En effet, il y a DNAT par défaut et DNAT par défaut :
- est-ce que DNAT par défaut concerne tous les protocoles?
- est-ce que DNAT par défaut concerne seulement tous les ports TCP et UDP?
Sur Freebox, DNAT par défaut concerne tous les protocoles : la Freebox envoie tout ce qu'elle ne reconnait pas spécifiquement à l'adresse IP indiquée comme "DMZ" :
- les ICMP entrants qui ne sont pas liés à un dialogue en cours (donc l'option "répondre au ping" n'existe pas quand la fonction DMZ est activée)
- les autres protocoles que ceux reconnus (TCP, UDP, SCTP, ICMP...)
D'autre box n'ont pas forcèment exactement ce comportement.
Tu n'as pas décrit ton besoin :
- est-ce que tu veux juste pouvoir activer des serveurs TCP ou UDP sans avoir à faire de redirections sur la PoireBox?
- est-ce que tu veux récupérer tous les paquets, pour tous les protocoles, reçus par la PoireBox?