La redirection de port est-elle dangereuse ?

Pas en soi, mais c'est le bouton le plus risqué d'un routeur domestique. Le service exposé doit être corrigé et authentifié. Le modèle sûr est le suivant : transférez un seul port pour un VPN (WireGuard ou OpenVPN) et accédez à tout le reste depuis l'intérieur du tunnel plutôt que d'exposer chaque service.

Pourquoi la redirection de port ne fonctionne-t-elle pas pour moi ?

Les raisons les plus courantes : votre FAI utilise CGNAT (pas d'adresse IP publique vers laquelle transférer), votre routeur a IPv6 mais vous transférez uniquement IPv4, le service vers lequel vous transférez a son propre pare-feu bloquant le port, ou la règle transférée nomme une adresse IP interne fixe qui a depuis changé via DHCP. Vérifiez chacun.

L'UPnP peut-il être activé en toute sécurité ?

Sur un réseau composé uniquement de vos appareils de confiance, en général oui. Sur n'importe quel réseau doté d'appareils domestiques intelligents ou d'ordinateurs portables non fiables, non : UPnP donne à n'importe quel appareil du réseau local le pouvoir de percer des trous arbitraires dans votre pare-feu. La plupart des routeurs domestiques sont livrés avec ; pensez à l'éteindre.

Un VPN peut-il remplacer la redirection de port ?

Pour un accès entrant à votre propre réseau, oui : exécutez un serveur VPN sur votre routeur et connectez-vous-y depuis l'extérieur. Pour le trafic entrant provenant de strangers (exécutant un serveur de jeu public, un site Web), non : les clients d'un VPN doivent être les vôtres.

Ai-je besoin d’une redirection de port pour utiliser un VPN ?

Pour connecter out depuis un client VPN, non. Vers host un serveur VPN à la maison, oui — le port VPN entrant doit être redirigé. De nombreux fournisseurs VPN proposent également une redirection de port facultative pour des cas d'utilisation tels que l'amorçage BitTorrent depuis l'intérieur de leur réseau.

La redirection de port expliquée : laisser Internet communiquer avec un appareil à l'intérieur de votre réseau

La redirection de port est ce que vous configurez lorsque vous souhaitez héberger un serveur de jeu, gérer un site Web personnel à la maison ou à distance sur votre bureau depuis la route. C'est également l'une des choses les plus sensibles en matière de sécurité que vous puissiez faire sur un réseau domestique : une erreur ouvre la porte à l'Internet public. Cela vaut la peine de comprendre avant d’appuyer sur l’interrupteur.

Le corps complet de l’article est fourni en anglais ci-dessous.

Port forwarding est une configuration de routeur qui dit : "Lorsqu'un paquet arrive sur mon adresse IP publique sur ce port, envoyez-le à ce périphérique interne sur ce port interne." Il s'agit du remplacement explicite du comportement par défaut de NAT « pas d'entrée non sollicitée ». Sans cela, le reste d’Internet ne peut accéder à rien à l’intérieur de votre réseau domestique. Grâce à lui, exactement les services que vous choisissez deviennent accessibles.

La mécanique

Your routeur contient un tableau de règles de transfert. Chaque nom de règle:

A port public (le port que quelqu'un sur Internet va frapper)
Un adresse IP interne (à quel appareil de votre réseau local envoyer)
Un port interne (souvent le même que le port public, mais cela peut différer)
A protocole (TCP, UDP ou les deux)

Lorsqu'un paquet correspondant arrive sur l'interface WAN, le routeur réécrit la destination et l'envoie vers l'intérieur. Les réponses reviennent via NAT.

A exemple travaillé

Vous souhaitez héberger un serveur Minecraft. Le serveur s'exécute sur votre PC de jeu sous 192.168.1.50 et écoute sur le port TCP/UDP 25565. Vous configurez une règle de redirection de port : public TCP+UDP 25565 → 192.168.1.50:25565. Désormais, toute personne qui se connecte à your.public.ip:25565 atteint le serveur.

Pour que cela soit utile, vous avez également besoin d'une adresse stable. Les adresses IP publiques des FAI grand public changent occasionnellement, alors utilisez un service DNS dynamique (DuckDNS, No-IP, API DNS Cloudflare) pour pointer un nom vers votre adresse IP changeante, ou demandez une adresse IP statique à votre FAI s'il en propose une. automatiquement :

UPnP IGD (Universal Plug and Play, profil de périphérique de passerelle Internet) est le plus ancien et le plus largement pris en charge. L'application envoie une requête XML sur HTTP à une adresse de multidiffusion locale, le routeur répond, l'application demande l'ouverture d'un port, le routeur l'ouvre.
NAT-PMP et son successeur PCP sont des protocoles binaires plus simples qui font le même travail, largement utilisés par les appareils Apple et les jeux modernes. consoles.

Les deux protocoles sont pratiques et source d'incidents de sécurité constants. UPnP n'a pas d'authentification : n'importe quel appareil sur le réseau local, y compris une ampoule IoT compromise, peut ouvrir des trous arbitraires à travers le pare-feu. De nombreux guides de sécurité recommandent de désactiver manuellement l'UPnP et les ports de transfert.

Implications sur la sécurité

Le transfert d'un port est le moment où votre pare-feu passe de « refuser par défaut » à « autoriser cette seule chose ». Le service exposé doit être :

Patched. Ouvrir SSH sur Internet est très bien ; ouvrir SSH sur un routeur non corrigé vieux de 5 ans est une annonce de recrutement de botnet.
Authenticated. Le service doit exiger un mot de passe, idéalement une clé forte. Les informations d'identification par défaut sont catastrophiques.
Monitored. Même les bons services voient constamment le trafic d'analyse. Les journaux vous permettent de remarquer quand le trafic normal se transforme en autre chose.

Vous devez traiter chaque port transféré comme une cible permanente d'attaques automatisées. Le port par défaut du service que vous exposez verra le trafic analysé quelques minutes après sa mise en ligne.

Pourquoi CGNAT interrompt la redirection de port

Si votre FAI utilise CGNAT, vous n'avez pas d'adresse IP publique - l'adresse WAN de votre routeur est elle-même une adresse privée partagée avec des centaines d'autres clients. Il n'y a nulle part où transférer to. La redirection de port ne fonctionne tout simplement pas sur les connexions CGNAT.

Solutions de contournement : demandez à votre FAI une véritable adresse IP publique (certains la proposent moyennant des frais supplémentaires), utilisez IPv6 (qui n'a pas besoin de NAT) ou utilisez un service de tunnel comme Cloudflare Tunnel, Tailscale Funnel, ngrok ou un VPS comme hôte de saut.

Redirection de port vs VPN

Pour Pour accéder à votre propre réseau à distance, un VPN est presque toujours le meilleur choix que la redirection de port. Exécutez WireGuard sur le routeur (ou sur un appareil dédié), connectez-vous à votre réseau domestique depuis l'extérieur et accédez aux services internes comme si vous étiez chez vous, sans les exposer directement à Internet. Le port unique que vous transférez (le port VPN) est un service bien audité plutôt que plusieurs services arbitraires.

Questions fréquemment posées

La redirection de port est-elle dangereuse ?: Pas en soi, mais c'est le bouton le plus risqué d'un routeur domestique. Le service exposé doit être corrigé et authentifié. Le modèle sûr est le suivant : transférez un seul port pour un VPN (WireGuard ou OpenVPN) et accédez à tout le reste depuis l'intérieur du tunnel plutôt que d'exposer chaque service.
Pourquoi la redirection de port ne fonctionne-t-elle pas pour moi ?: Les raisons les plus courantes : votre FAI utilise CGNAT (pas d'adresse IP publique vers laquelle transférer), votre routeur a IPv6 mais vous transférez uniquement IPv4, le service vers lequel vous transférez a son propre pare-feu bloquant le port, ou la règle transférée nomme une adresse IP interne fixe qui a depuis changé via DHCP. Vérifiez chacun.
L'UPnP peut-il être activé en toute sécurité ?: Sur un réseau composé uniquement de vos appareils de confiance, en général oui. Sur n'importe quel réseau doté d'appareils domestiques intelligents ou d'ordinateurs portables non fiables, non : UPnP donne à n'importe quel appareil du réseau local le pouvoir de percer des trous arbitraires dans votre pare-feu. La plupart des routeurs domestiques sont livrés avec ; pensez à l'éteindre.
Un VPN peut-il remplacer la redirection de port ?: Pour un accès entrant à votre propre réseau, oui : exécutez un serveur VPN sur votre routeur et connectez-vous-y depuis l'extérieur. Pour le trafic entrant provenant de strangers (exécutant un serveur de jeu public, un site Web), non : les clients d'un VPN doivent être les vôtres.
Ai-je besoin d’une redirection de port pour utiliser un VPN ?: Pour connecter out depuis un client VPN, non. Vers host un serveur VPN à la maison, oui — le port VPN entrant doit être redirigé. De nombreux fournisseurs VPN proposent également une redirection de port facultative pour des cas d'utilisation tels que l'amorçage BitTorrent depuis l'intérieur de leur réseau.