Network Address Translation (NAT) ist in Rechnernetzen der Sammelbegriff für Verfahren, die automatisiert Adressinformationen in Datenpaketen durch andere ersetzen, um verschiedene Netze zu verbinden. Daher kommen sie typischerweise auf Routern zum Einsatz.
Diese Seite ist eine inhaltsgekürzte Version aus Wikipedia und unter der Lizenz Creative Commons Attribution/Share Alike verfügbar.
NAT wird in Source-NAT und Destination-NAT unterteilt. Während beim Source-NAT die Adresse des Computers umgeschrieben wird, der die Verbindung aufbaut, wird beim Destination-NAT die Adresse des angesprochenen Computers verändert.
Große Verbreitung fand Source-NAT durch die Knappheit öffentlicher IPv4-Adressen und die Tendenz, private Subnetze mit dem Internet zu verbinden. Die einfachste Lösung dieses Problems war oft die durch NAT mögliche Verwendung mehrerer privater IP-Adressen mit nur einer öffentlichen IP-Adresse, wobei die Abbildung auf diese aufgrund der 16 Bit breiten Portnummern auf etwa 65000 Sitzungen (Port-Address-Translation Einträge) beschränkt bleibt.
Gerade in privaten oder möglichst preisgünstig ausgeführten Netzinstallationen wird Source-NAT als eine Art Sicherheitsmerkmal und zur Trennung von internem und externem Netz eingesetzt. Während eine NAT-Installation oberflächlich tatsächlich diese gewünschte Wirkung erzielt, kann sie weder Sicherheitsinfrastruktur noch wirksame Maßnahmen zur Trennung von Netzen ersetzen. So wird die Source-NAT-Funktion eines Routers im professionellen Bereich oft durch ein zusätzlich betriebenes Application Level Gateway unterstützt.
Bei jedem Verbindungsaufbau durch den Client wird die Quell-IP-Adresse durch eine des Routers ersetzt. Außerdem wird der Quellport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert. Der Vorgang wird als PAT (Port Address Translation) bezeichnet.
lokales Netz (LAN) | öffentliches Netz (WAN) | |||
---|---|---|---|---|
Quelle | Ziel | Router ⇒ NAT | Quelle | Ziel |
192.168.0.2:4701 | 170.0.0.1:80 | Absender umgeschrieben zu: | 205.0.0.2:6787 | 170.0.0.1:80 |
192.168.0.3:5387 | 170.0.0.1:80 | Absender umgeschrieben zu: | 205.0.0.2:8709 | 170.0.0.1:80 |
192.168.0.4:1001 | 170.0.0.1:23 | Absender umgeschrieben zu: | 205.0.0.2:4806 | 170.0.0.1:23 |
Destination-NAT wird beispielsweise verwendet, um mehrere, unterschiedliche Serverdienste, die auf verschiedenen Computern betrieben werden, unter einer einzigen IP-Adresse anzubieten.
Auch wird es manchmal bei Hot Spots benutzt, um Zugriffe auf Webseiten vor der Anmeldung auf den Rechner umzuleiten, der die Anmeldung anbietet.
Bei jedem Verbindungsaufbau durch den Client wird die Ziel-IP-Adresse durch eine andere ersetzt. Außerdem wird der Zielport durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird im Router gespeichert.
lokales Netz (LAN) | öffentliches Netz (WAN) | |||
---|---|---|---|---|
Quelle | Ziel | Router ⇒ NAT | Quelle | Ziel |
170.0.0.1:1001 | 171.4.2.1:80 | Absender umgeschrieben zu: | 170.0.0.1:1001 | 192.168.0.2:80 |
170.0.0.1:1001 | 171.4.2.1:22 | Absender umgeschrieben zu: | 170.0.0.1:1001 | 192.168.0.3:22 |
170.0.0.1:1001 | 171.4.2.1:81 | Absender umgeschrieben zu: | 170.0.0.1:1001 | 192.168.0.3:80 |