APEUL - Livebox asso - Orange

Par défaut, le pare-feu de la livebox bloque toutes les connexions initiées de l'extérieur (Internet). Si l'on dispose de "serveurs" sur une ou plusieurs machines, il faut nécessairement autoriser leur accès. Cela se fait par la "redirection de port", principalement dans l'interface de configuration de la livebox par la page NAT/PAT.

Nota 1 : Si l'UPnP est activé (par défaut) certains logiciels "serveurs" savent ouvrir automatiquement les ports qui leurs sont nécessaires.
Nota 2 : L'utilisation de la DMZ permet aussi d'autoriser toutes les connexions entrantes vers une machines (en fait toutes sauf celles qui font l'objet d'une redirection spécifique NAT/PAT ou UPnP). En bonne logique, on ne devrait utiliser la DMZ que si elle concerne une machine disposant d'un pare-feu.

Un serveur est un logiciel, en fonctionnement continu sur une machine, à l'écoute sur un port d'une éventuelle requête à laquelle il répondra (ou, au moins, il réagira). Ce port est le port interne. Sur un machine, ou plus exactement à une adresse IPLAN, il ne peut y avoir qu'un seul serveur sur un port. Par contre, deux serveurs à des adresses IPLAN différentes peuvent utiliser un même numéro de port interne.

Pour joindre ce serveur de l'extérieur (requête Internet), on le fera en utilisant l'adresse IPWAN (IP externe) de la livebox et un numéro de port. Ce port est le port externe. Il peut être implicite pour des services standards (http : 80, FTP : 21, etc.). C'est à partir de ces deux informations que le pare-feu saura vers quelle machine et sur quel port interne il faudra diriger la requête. Ce port externe est donc nécessairement unique dans la livebox.

Au préalable, il faut faire en sorte qu'une adresse IPLAN corresponde toujours à la même machine sur laquelle est implantée le serveur. Cela se fait, soit en fixant l'IPLAN au niveau du PC (IP fixe), soit en rendant statique l'adresse IPLAN sur la page DHCP de l'interface de la livebox. Il est aussi pratique, si l'on est pas en IPWAN fixe, de définir une adresse dyndns pour accéder plus simplement à ses serveurs.

L'illustration suivante (firmware LBV2_610328) montre un exemple avec deux serveurs http (chacun sur une machine), un serveur ftp et une caméra IP (accessible en http sur le port 80).
Pour la première machine, on a choisi les services prédéfinis http et ftp et il a suffi de désigner le nom de la machine (on aurait pu saisir son IPLAN).
Pour le second serveur http, qui fonctionne sur le même port interne 80, il a fallu créer une règle spécifique en choisisant un nom (indifférent), un port externe (libre mais par principe > 1024 et en pratique entre 10000 et 65535), le port interne 80 (imposé par mon serveur), le protocole TCP (imposé par http) et le nom de la machine.
Pour la caméra IP, le principe est le même (on l'a désignée par son IPLAN fixe).

Mes serveurs sur "armada-e500" sont accessibles d'Internet par les commandes : http://mon_ipwan et ftp://mon_ipwan.
Sur "thinkpad-a20m" la commande est http://mon_ip_wan:40000 et pour la caméra IP http://mon_ip_wan:41312

Pour information, certains logiciels "serveurs" peuvent nécessiter l'ouverture de plusieurs ports dont certains en UDP. Mais le principe reste le même.

Conclusion : La redirection de port est une opération simple à réaliser sur la livebox, mais il est important de bien en avoir compris le principe. J'espère y avoir contribué.