Un nombre surprenant de billets « le pare-feu est brisé » sont en réalité des « l’adresse dans la règle vient d’une plage réservée et n’allait jamais router ». Quelqu’un autorise 172.32.0.5 en pensant que c’est du RFC 1918 (ce ne l’est pas — c’est hors de la plage privée), ou tape 169.254.10.5 et se demande pourquoi les paquets ne quittent jamais le segment local (le link-local ne sort pas). Le Vérificateur d’IP publique / privée de PortJar catégorise une adresse contre les registres en un seul collage, pour que la conversation passe de « est-ce que c’est privé ? » à « voici le vrai correctif ».
Ce que fait l’outil
Collez n’importe quelle adresse IPv4 et le vérificateur indique à quelle classe d’espace l’adresse appartient : publique (routable mondialement), privée selon RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16), loopback (127.0.0.0/8), link-local (169.254.0.0/16), espace partagé pour le NAT à grande échelle des opérateurs (100.64.0.0/10), multicast, préfixes de documentation, ou divers blocs réservés. La classification roule entièrement dans le navigateur contre le registre des usages spéciaux de l’IANA ; rien ne quitte la page.
La sortie nomme le bloc spécifique dans lequel vit l’adresse, pas juste la catégorie. Ce détail supplémentaire, c’est ce qui prévient la deuxième erreur la plus courante — confondre RFC 1918 avec le seau plus large de « tout ce qui n’est pas public ». Un préfixe de documentation comme 192.0.2.0/24 est réservé, mais ce n’est pas du RFC 1918, et le traiter comme privé vous mènera dans la mauvaise voie de remédiation.
Comment l’utiliser
Ouvrez portjar.com/tools/ip-classifier, collez l’adresse, et lisez la classification. Rien à soumettre, aucun appel réseau. Si vous auditez une liste d’adresses, traitez-les une à la fois — la sortie est assez courte pour que copier chaque résultat dans un chiffrier prenne quelques secondes.
Pour du travail en lot sur une longue liste, le vérificateur n’a pas la bonne forme ; sortez un script. Mais pour la ou deux adresses surprenantes qui ressortent d’une revue de journaux ou d’un audit de pare-feu, c’est le moyen le plus rapide de régler la question.
Quand l’utiliser
- Audits de règles de pare-feu. Une liste d’adresses autorisées contient une entrée qui « a l’air privée ». Le vérificateur vous dit si elle l’est réellement — et de quel bloc RFC 1918, ou s’il s’agit d’un préfixe de documentation qui n’aurait jamais dû être dans la règle.
- Dépannage NAT. Un client signale que le trafic depuis son bureau apparaît à votre périmètre comme
100.78.4.12. Ce n’est pas du RFC 1918 — c’est de l’espace partagé de NAT à grande échelle, ce qui veut dire que son FAI fait du CGNAT et que l’adresse peut être réutilisée par un autre abonné demain. - Triage de journaux. Une alerte SIEM se déclenche sur des connexions « depuis
169.254.169.254». Ce n’est pas un vrai client — c’est l’adresse link-local que la plupart des fournisseurs infonuagiques utilisent pour le service de métadonnées d’instance. L’alerte est mal configurée, pas le réseau. - Hygiène de documentation. Les docs d’un fournisseur utilisent
203.0.113.5dans un exemple. Le vérificateur confirme que c’est la plage de documentation IPv4 et que l’adresse n’entrera en conflit avec rien de réel — vous pouvez la laisser dans un guide opérationnel sans craindre un chevauchement futur. - Diagnostic de mauvaise configuration DHCP. Un poste de travail rapporte une adresse commençant par
169.254.. C’est de l’APIPA — le système d’exploitation a abandonné le DHCP. Le correctif est en amont, pas sur le client.
Quoi faire du résultat
Un verdict « publique » veut dire que l’adresse est dans l’espace que les registres allouent aux opérateurs ; elle devrait atteindre internet, et le reste d’internet devrait pouvoir l’atteindre (modulo les pare-feu). Un verdict « privée » — spécifiquement RFC 1918 — veut dire que l’adresse ne devrait jamais apparaître comme source sur l’internet public, et si c’est le cas, quelque chose entre le client et la destination est mal configuré ou cherche activement à masquer l’origine.
Les verdicts gris sont les plus intéressants. L’espace NAT à grande échelle (100.64.0.0/10) a l’air public mais n’est pas routable sur l’internet public — c’est la réserve d’adresses que les FAI utilisent derrière leur propre NAT. Le link-local (169.254.0.0/16) est un repli auto-assigné quand le DHCP échoue. Les plages de documentation (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24) existent pour que la rédaction technique puisse utiliser une adresse d’apparence réelle sans entrer en collision avec du trafic de production où que ce soit. Voir l’une d’elles dans une liste d’autorisations de production est presque toujours une coquille.
Un résultat vide veut dire que l’entrée n’était pas un IPv4 valide — généralement un caractère parasite, une adresse IPv6 collée par erreur, ou un nom d’hôte au lieu d’une adresse numérique.
Pour les environnements où les politiques d’adresse source, les sorties NAT et les règles de pare-feu doivent rester justes pendant que les réseaux changent, Stack Harbor gère la discipline de classification dans le cadre des environnements infogérés.