PeopleAreGeek
EN

Public IP vs Local IP

Colle une local IP et la public IP que les sites voient, puis lis ce qu'est chacune : IPv4 ou IPv6, quelle range, routable ou pas, et la frontière NAT.

Public IP vs local IP, c'est l'écart qui casse la moitié des port forwards et des règles de firewall. Colle l'adresse locale que ton appareil affiche et la publique que le monde extérieur voit, et l'outil te dit ce qu'est réellement chacune : IPv4 ou IPv6, dans quelle range elle tombe, si elle route sur internet ou pas. Il repère l'espace privé RFC1918, le link-local, les ranges de documentation et de multicast, l'IPv6 unique local, et le bloc carrier-grade NAT qui tue discrètement les connexions entrantes. Ensuite il lit la frontière NAT entre les deux, dit quelle valeur appartient à une allowlist distante, et rédige une note copiable pour un port forward ou un ticket de support. La détection interroge un fournisseur d'IP publique directement depuis ton navigateur.

100% dans votre navigateur. Rien de ce que vous tapez ne quitte cette page.

Utilitaire NAT et portée d'adresse

Deux IP, et elles ne correspondent presque jamais. Colle la local IP que ton appareil affiche, colle (ou détecte) la public IP que les sites voient vraiment, et l'outil te dit ce qu'est chacune : IPv4 ou IPv6, dans quelle range elle tombe, et si elle est joignable depuis internet, tout simplement. Il repère le NAT et le carrier-grade NAT, puis te rédige une petite note que tu peux glisser dans un port forward, une firewall allowlist ou un ticket de support.

Un navigateur ne peut pas aller lire tout seul chaque private address qui traîne sur ton appareil. Donc récupère la local IP toi-même, sur le routeur, dans l'OS, dans le panneau du serveur, peu importe, et compare-la à celle qui fait face à internet.

Public IP vs local IP, sans la confusion habituelle

Une local IP désigne une interface à l'intérieur d'un réseau dont tu fais partie. La public IP, c'est l'adresse que le monde extérieur peut joindre, ou au moins voir, quelque part sur le chemin. Imagine ça chez toi. Ton portable est sur 192.168.1.42, mais chaque site que tu visites voit une seule adresse publique qui appartient au routeur ou à ton fournisseur, pas au portable. En entreprise, ça devient plus tordu. Un panneau de serveur t'affiche tranquillement une private address alors que c'est un load balancer ou une passerelle cloud qui expose réellement le service, via une adresse publique complètement différente.

Et franchement cet écart compte plus qu'on ne le croit. C'est la raison pour laquelle une allowlist veut une valeur et pas l'autre. C'est pour ça qu'un port forward pointe vers un hôte interne. C'est pour ça que le réseau de ton voisin et le tien peuvent tous les deux faire tourner 192.168.1.42 en ce moment même sans aucun conflit. Deux maisons, même adresse, personne ne remarque rien. C'est aussi pour ça que le support n'arrête pas de demander l'IP qui apparaît de l'extérieur plutôt que celle affichée par ton OS, ce qui paraît pédant jusqu'à ce que tu réalises que ce ne sont pas le même numéro.

À quoi sert cette comparaison

  • Comprendre ce qu'est vraiment une interface IP collée. Private, link-local, carrier NAT, IPv6 unique local, ou réellement routable.
  • Comparer une LAN address avec la public IP que ton navigateur expose en ce moment.
  • Repérer tôt un indice de carrier-grade NAT, avant de cramer vingt minutes sur un port forward qui n'allait de toute façon jamais recevoir de trafic entrant.
  • Choisir la bonne IP pour le boulot, que ce soit pour un accès VPN, une allowlist d'hébergement ou une règle d'admin à distance.
  • Filer à un collègue (ou à un client perdu) un rapport copiable au lieu d'essayer d'expliquer la notion de scope à l'oral.

Le NAT change le chemin, pas le sens des adresses

Le NAT, Network Address Translation, c'est juste l'astuce qui permet à un tas d'appareils IPv4 privés de partager un pool bien plus petit d'adresses publiques. À l'intérieur du LAN, ta local address fait toujours son boulot. Sur internet, c'est la public IP que les services distants contactent réellement. Les deux sont réelles, des scopes différents. Les gens traitent parfois le NAT comme si c'était un firewall, et bon, ça n'en est pas un, pas à lui tout seul. C'est ton routeur, le firewall de l'hôte, les security groups cloud, l'auth de ton appli, ce sont eux qui décident de ce qui est joignable.

Le carrier-grade NAT empile une seconde couche par-dessus, celle-là gérée par ton fournisseur. Si la WAN address de ton routeur tombe dans 100.64.0.0/10, c'est le signe : le FAI partage probablement un bout d'IPv4 publique entre plein de clients, toi compris. Et là le bon vieux port forwarding entrant échoue en silence, alors même que ta règle de routeur a l'air tout à fait correcte. Galère à débugger si tu ne sais pas qu'il faut chercher ça. L'IPv6 retourne complètement la situation. Là l'adresse peut être globalement routable à elle seule, et la politique du firewall reste libre de jeter toute connexion entrante que tu n'as pas demandée.

Les erreurs concrètes que cet outil t'évite

  • Coller une adresse 192.168.x.x dans le firewall d'un SaaS distant et se demander pourquoi rien ne se connecte.
  • Forwarder un port vers un hôte local, puis voir le DHCP attribuer une adresse différente à cet hôte la semaine d'après et casser la règle.
  • Supposer que tout ce qui n'est pas du RFC1918 est sûr à exposer, sans jamais vérifier les ranges à usage spécial.
  • Croire que la joignabilité publique te dit quelque chose sur la géolocalisation ou l'identité. Ce n'est pas le cas.
  • Oublier qu'un VPN, un proxy ou la passerelle du bureau est la vraie raison pour laquelle ta public IP visible vient de changer.

Questions fréquentes

Un site web peut-il voir ma local IP ?

Une simple requête web ne transmet en réalité que la public address qui a porté la connexion. Les navigateurs ne vont pas offrir une liste bien rangée de tes adresses d'appareils privées au premier site venu, donc si tu veux comparer la local, il faut la coller toi-même.

Quelle IP utiliser pour une firewall allowlist ?

Ça dépend du firewall. Un firewall distant veut presque toujours la public address telle que vue depuis le côté de ce service distant. Mais une règle sur un firewall à l'intérieur de ton propre LAN voudra plutôt un private subnet ou une local host address. Points de vue différents, réponse différente.

Une public IP veut-elle dire que l'appareil est exposé ?

Non, et ça piège les gens en permanence. Une adresse globalement routable te dit seulement le scope, rien de plus. Ce qui est réellement exposé se décide plus loin par tes firewalls, les règles de NAT, les security groups, le fait qu'un service écoute ou pas, plus l'auth. Le scope n'est pas l'exposition.

Quelles ranges d'IP sont privées ?

Pour l'IPv4 c'est 10.0.0.0/8, puis 172.16.0.0/12, plus 192.168.0.0/16. L'IPv6 a la sienne, fc00::/7. Aucune ne route sur l'internet public, et c'est précisément pour ça que les mêmes se retrouvent réutilisées sur quasiment tous les réseaux locaux de la planète.

Pourquoi tous mes appareils partagent-ils une seule public IP ?

C'est le NAT qui fait son truc. Ton routeur mappe toutes ces private addresses sur l'unique public IP, et il garde la trace de chaque connexion sortante pour que les réponses retrouvent le chemin vers l'appareil qui a demandé. Une adresse en façade, toute une maison derrière.

C'est quoi le CGNAT et comment ça m'affecte ?

Le carrier-grade NAT, c'est quand ton FAI étire une seule public IP sur des tas de clients à la fois. La douleur concrète, c'est que tu ne peux pas vraiment héberger de services entrants directement sur ta ligne. La solution habituelle, c'est un relais, ou un VPN qui te donne ton propre endpoint public sur lequel pointer les choses.