Mode routeur des box (Freebox, LiveBox, AOL/Neuf/Alice Box)

Le mode routeur

La plupart des "box" (Freebox, LiveBox, AOL Box, Alice Box, Neuf Box, etc.) ont une fonction routeur/NAT/firewall.

Routeur

La box s'occupe de router (diriger les échanges) entre vos ordinateurs et internet. Tout ordinateur supplémentaire connecté à la box pourra accéder à internet directement.
Pour plus d'informations sur le routage, voir l'article sur les routeurs.

NAT

Elle effectue une traduction d'adresses entre votre réseau local (LAN) et le réseau internet, afin de "masquer" les machines du réseau local.
Même si vous avez plusieurs ordinateurs connectés, vu d'internet on ne voit qu'une seule adresse IP: celle de votre box.
Plus d'informations, voir l'article sur la translation d'adresse.

Firewall

La box empêche toute machine sur internet de se connecter sur un de vos ordinateurs.
Plus d'information sur les firewalls, voir l'article sur le pare-feu.

Notez aussi que ces trois fonctions peuvent également être remplies par les routeurs traditionnels (Linksys, NetGear, etc.)

Ces 3 fonctions possèdent les avantages suivants :

• facilitent la configuration de la connexion internet (que vous ayez un seul ordinateur ou plusieurs). Non seulement la configuration est automatique, mais il n'y a aucun pilote modem à installer.
• permettent de partager facilement la connexion internet si vous avez plusieurs ordinateurs.
• sécurisent en partie votre ou vos ordinateurs (c'est utile même si vous n'avez qu'un seul ordinateur !). Tous les ordinateurs de votre réseau local seront protégés contre les connexions entrantes même s'ils n'ont pas de firewall personnel comme ZoneAlarm.

Mais j'ai déjà un firewall personnel !

Les firewalls personnels (ZoneAlarm, Kerio, Sygate, Look'n Stop...) ne sont pas infaillibles. Si une faille (une vulnérabilité) est découverte, il est possible, dans certains cas, pour l'attaquant de désactiver votre pare-feu à distance en le faisant planter (C'est déjà arrivé pour Kerio).

Le firewall de votre box agira comme une première ligne de défense en empêchant les hackers de venir se connecter sur votre firewall personnel pour essayer de le planter.

Certains virus ou chevaux de Troie sont capables de désactiver les firewalls personnels. Si par malheur cela arrivait sur votre ordinateur, le firewall de vote box continuera à vous protéger des connexions entrantes (puisque les virus actuels ne sont pas capables de modifier la configuration du firewall des box.)

Le firewall de la box permet de protéger l'ordinateur lors de l'installation (ou la réinstallation) de Windows.
Sans cela, votre ordinateur sera infecté avant même que vous ayez eu le temps d'installer les mises à jour de sécurité avec WindowsUpdate.

Mais alors je n'ai plus besoin de firewall personnel ?

Un pare-feu personnel est nécessaire ! Le firewall de votre box ne contrôle absolument pas les connexions sortantes, c'est-à-dire qu'il ne contrôle pas quels logiciels sur votre ordinateur ont le droit d'aller sur internet. Seul un pare-feu personnel peut le faire : Il reste donc utile.

Et le firewall de Windows XP ?

Oubliez le pare-feu de Windows XP. Il possède les inconvénients des firewalls box (il ne contrôle pas vraiment ce qui sort) et les inconvénients des firewalls perso (on peut le désactiver en quelques clics). Il est donc recommandé:

• d'activer le firewall de votre box.
• d'installer un firewall perso (ZoneAlarm, Sygate, Kerio...)
• et de désactiver le firewall de Windows XP.

Différences entre le mode routeur et normal d'une "box" ?

Sans le mode routeur/firewall/NAT

Votre ordinateur est directement accessible depuis internet : N'importe qui peut essayer de s'y connecter. Votre ordinateur possède une adresse IP publique (visible d'internet).

Schéma:


De plus, si vous voulez partager votre connexion internet avec d'autres ordinateurs, cela vous oblige à laisser l'ordinateur allumé.

Avec le mode routeur/NAT/firewall activé

Votre ordinateur se voit alors attribuer une adresse IP privée (de LAN: 192.168.x.x ou 10.0.0.x). La box agit comme intermédaire entre votre réseau local et internet. La connexion directe d'internet vers votre ordinateur n'est plus possible, à moins de mettre en place une redirection de ports (port forwarding, voir ci-dessous).

Schéma:


Comme vous pouvez le voir, votre box possède alors 2 adresses IP:
Une adresse IP publique (212.34.56.78) pour internet, et une adresse IP privée (192.168.0.254) pour votre réseau local.


La connexion d'un second ordinateur (avec un hub ou un switch) ne pose aucun problème: la box le prendra en compte automatiquement.

Mais alors je ne peux pas mettre de serveur sur mon PC ?

En temps normal, la box va bloquer toute tentative de connexion vers votre ordinateur, ce qui empêche effectivement les internautes d'accéder à votre serveur (web, FTP, irc ou autre).

Mais cela n'est pas un problème: la plupart des box sont configurables et permettent de mettre en place une redirection de port (port forwarding), consistant à donner accès à un port d'un ordinateur du réseau interne à travers la box.

Par exemple, il est possible de configurer le port forwarding de la box pour permettre l'accès à un serveur web installé sur un ordinateur du réseau interne (par exemple 192.168.0.2 / port 80) via le port 80 de la box (sur son IP publique). Dès qu'une connexion arrive sur ce port, la box redirigera le traffic entrant vers le port 80 du serveur (192.168.0.2).

Cette démarche de redirection de port est valable pour n'importe quel service utilisant un port (FTP, SSH, Serveur POP ou IMAP, etc.). C'est notamment le principe à suivre pour utiliser un logiciel Peer-To-Peer (type emule) ou tout autre logiciel ayant besoin de fonctionner en mode "serveur": serveurs FTP, irc, jeux en ligne, chat, BitTorrent, [VNC vnc], etc.

Regardez la documentation de votre box pour voir si c'est possible et comment procéder et renseignez vous sur votre serveur afin de savoir quels ports sont utilisés par ce dernier. Pour la FreeBox, suivez le guide de configuration du mode routeur de la Freebox.

Le cas où vous risquez d'avoir des problèmes, c'est pour les logiciels qui utilisent un port aléatoire (ou 'dynamique'), par exemple pour certains logiciels de P2P.