Inhaltsverzeichnis

NAT (Network Address Translation)

Network Address Translation (NAT) ist in Rechnernetzen der Sammelbegriff für Verfahren, die automatisiert Adressinformationen in Datenpaketen durch andere ersetzen, um verschiedene Netze zu verbinden. Daher kommen sie typischerweise auf Routern zum Einsatz.

:!: Diese Seite ist eine inhaltsgekürzte Version aus Wikipedia und unter der Lizenz Creative Commons Attribution/Share Alike verfügbar.

NAT-Typen

NAT wird in Source-NAT und Destination-NAT unterteilt. Während beim Source-NAT die Adresse des Computers umgeschrieben wird, der die Verbindung aufbaut, wird beim Destination-NAT die Adresse des angesprochenen Computers verändert.

Source-NAT

Große Verbreitung fand Source-NAT durch die Knappheit öffentlicher IPv4-Adressen und die Tendenz, private Subnetze mit dem Internet zu verbinden. Die einfachste Lösung dieses Problems war oft die durch NAT mögliche Verwendung mehrerer privater IP-Adressen mit nur einer öffentlichen IP-Adresse, wobei die Abbildung auf diese aufgrund der 16 Bit breiten Portnummern auf etwa 65000 Sitzungen (Port-Address-Translation Einträge) beschränkt bleibt.

Gerade in privaten oder möglichst preisgünstig ausgeführten Netzinstallationen wird Source-NAT als eine Art Sicherheitsmerkmal und zur Trennung von internem und externem Netz eingesetzt. Während eine NAT-Installation oberflächlich tatsächlich diese gewünschte Wirkung erzielt, kann sie weder Sicherheitsinfrastruktur noch wirksame Maßnahmen zur Trennung von Netzen ersetzen. So wird die Source-NAT-Funktion eines Routers im professionellen Bereich oft durch ein zusätzlich betriebenes Application Level Gateway unterstützt.

Funktionsweise

Bei jedem Verbindungsaufbau durch den Client wird die Quell-IP-Adresse durch eine des Routers ersetzt. Außerdem wird der Quellport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert. Der Vorgang wird als PAT (Port Address Translation) bezeichnet.

lokales Netz (LAN) öffentliches Netz (WAN)
Quelle Ziel Router ⇒ NAT Quelle Ziel
192.168.0.2:4701 170.0.0.1:80 Absender umgeschrieben zu: 205.0.0.2:6787 170.0.0.1:80
192.168.0.3:5387 170.0.0.1:80 Absender umgeschrieben zu: 205.0.0.2:8709 170.0.0.1:80
192.168.0.4:1001 170.0.0.1:23 Absender umgeschrieben zu: 205.0.0.2:4806 170.0.0.1:23

Destination-NAT

Destination-NAT wird beispielsweise verwendet, um mehrere, unterschiedliche Serverdienste, die auf verschiedenen Computern betrieben werden, unter einer einzigen IP-Adresse anzubieten.

Auch wird es manchmal bei Hot Spots benutzt, um Zugriffe auf Webseiten vor der Anmeldung auf den Rechner umzuleiten, der die Anmeldung anbietet.

Funktionsweise

Bei jedem Verbindungsaufbau durch den Client wird die Ziel-IP-Adresse durch eine andere ersetzt. Außerdem wird der Zielport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert.

lokales Netz (LAN) öffentliches Netz (WAN)
Quelle Ziel Router ⇒ NAT Quelle Ziel
170.0.0.1:1001 171.4.2.1:80 Absender umgeschrieben zu: 170.0.0.1:1001 192.168.0.2:80
170.0.0.1:1001 171.4.2.1:22 Absender umgeschrieben zu: 170.0.0.1:1001 192.168.0.3:22
170.0.0.1:1001 171.4.2.1:81 Absender umgeschrieben zu: 170.0.0.1:1001 192.168.0.3:80

Kritik