NAT - Adressenumsetzung, port forwarding und port triggering

November 2016

NAT Konzept

Das Konzept der Adressenumsetzung (eng. Network Address Translation abgekürzt NAT) wurde entwickelt um das Problem der knappen IP Adressen im IPv4 Protokoll zu umgehen (das Protokoll IPv6 wird dieses Problem wenn es so weit ist, lösen).

Tatsächlich, ist bei der IPv4 Adressierung, die Zahl der routablen (durch Router adressierbaren, sprich einzigartigen auf der Erde) Adressen nicht ausreichend damit alle verfügbaren Rechner sich ans Internet anbinden können.

Das NAT Prinzip ruht auf die Verwendung eines Internet Protokollumsetzer (gateway), mit wenigstens einer Netzwerkschnittstelle zum Intranet und wenigstens einer Schnittstelle zum Internet (eine verfügbare routable Adresse), damit sämtliche Maschinen ans Netz gehen können.

Passerelle NAT

Ziel ist, auf der Gateway-ebene eine Umsetzung oder Translation (wortwörtlich eine « Übersetzung ») der Netzinternen Pakete in Richtung Aussennetz zu bewerkstelligen.

Jede Maschine mit einem Internet-Zugangsbedarf, wird so konfiguriert das sie das NAT-Gateway ansperechen kann ( mit Eingabe der IP Adresse ins Feld « Gateway » ihrer TCP/IP Parameter). Sobald die Maschine eine Internet Request meldet, setzt das Gateway die Anfrage an ihrer Stelle ab, empfangt für sie die Antwort, und schiebt sie der Maschine entgegen.

Principe de la translation d\'adresse

Infolge der vom Gateway erzeugten vollständigen Netzwerkadressverschleierung , bildet das Prinzip der Adressumzetzung eine Schutz funktion. De facto, für einen Netz Aussenstehenden Betrachter, scheinen sämtliche formulierte Anfragen von der Gareway IP Adresse zu kommen.

Adressraum

Das mit der Adressraum beauftragten öffentliche Verwalter (routable IP Adressen) ist die Internet Assigned Number Authority (IANA). Die RFC 1918 definiert private Adressräume, indem jede Stelle den eigenen IP Adressierbaren Intranet Maschinenpark so verwalten kann dass sie nicht mit den öffentlich von der IANA vergebenen IP Adressen, in Konflikt treten können. Diese sogenannte non-routable Adressen entsprechen folgende Adressbereiche :

  • Klasse A : Bereich von 10.0.0.0 bis 10.255.255.255 ;
  • Klasse B : Bereich von 172.16.0.0 bis 172.31.255.255 ;
  • Klasse C : Bereich von 192.168.0.0 bis 192.168.255.55 ;
Netzinterne Maschinen die über einen Router mit Internet verbunden sind und keine eigene öffentliche IP Adresse besitzen, müssen Adressen aus diesen Bereiche wählen. Für kleine Heimnetze wird im allgemeinen der Bereich von 192.168.0.1 bis 192.168.0.255 verwendet.

Statische Umsetzung

Das Prinzip vom statischen NAT beruht auf die Assoziierung einer öffentlichen und einer Neztinternen Adresse. Der Router (oder eher das Gateway) erlaubt demnach die Assoziierung einer privaten IP Adresse (z.B. 192.168.0.1) an eine roublen öffentlichen IP Adresse im Internet und die Umsetzung in beiden Richtungen durzuführen, anhand einer Adressänderung im IP Paket.

Die statische Adressumsetzung sichert so ein tranparentes Verbinden von Netzinternen Maschinen mit Internet, löst aber das Problem der Adressenknapheit nicht da n routale IP Adressen nötig sind für die Verbindung mit n Netzinternen Maschinen.

Dynamische Umsetzung

Durch das dynamische NAT werden routble IP Adressen (oder ein veminderter Satz an routablen IP Adressen) im internen Netz zwischen verschiedenen Maschinen geteilt mittels private Adressierung. So besitzen sämtliche Maschinen eines Netzes, von Aussen betrachtet, die eine und selbe IP Adresse. An Stelle von dynamische Adresse, wird aus diesem Grunde auch der Ausdruck « IP Maskarade » (eng. IP masquerading) benutzt.

Zwecks « multiplexing » (teilen) verschiedener IP Adressen auf eine oder mehrere routablen IP Adressen, nutzt das dynamische NAT das Port-Translation Verfahren (PAT - Port Address Translation), d.h. die Zuteilung eines anderen Port für die verschiedenen Anfragen so dass Anfragenzusammenhängende Beziehungen im Innennetz erhalten bleiben und alle Antworten aus dem Internet der Router eigenen IP Adresse gerichtet werden

Port Forwarding

Adressumsetzungen erlauben interne Anfragen nur in Richtung Aussennetze. Für eine Aussensitzenden Maschine wird das senden eines Pakets an eine internen Maschine untersagt. Mit anderen Worten, die Maschinen im Innen-Netz dürfen nicht als Server für die Maschinen im Aussennetz dienen.

Aus diesem Grunde existiert eine NAT erweiterung , genannt « Port Umleitung » (eng. Port Forwarding oder Port mapping) . Das Gateway wird so konfiguriert dass einer Maschine aus dem internen Netz, sämtliche Daten aus einem bestimmten Port zugeordet werden. Von Aussen betrachtet wird man ein Webserver (Port 80) der intern die Adresse 192.168.1.2 hat, erreichen können, wenn eine Portumleitungsregel auf dem Gateway definiert wird, die es dazu verleiten alle Pakete auf Port 80 ankommend, der Maschine 192.168.1.2 leiten.

Port Triggering

Die meisten Client-Server Applikationen setzen Anfragen zu einem Fernhost auf einen bestimmten Port und machen wiederum einen anderen Port frei für den Rücklauf der Daten. Trotzdem werden bestimmte Applikationen für den Datenaustausch mit dem Server, mehr als ein Port benötigen; dies ist beispielsweise der Fall bei FTP, wo Eingangsdaten über Port 21 kommen aber Ausgangsdaten über Port 20 gehen. So wird mit det NAT Verfahren, nach dem öffnen einer Verbindung auf dem Port 21 der Fernmaschine,wird das Gateway die Daten auf einen einzigen erwarten und Antäge auf dem Port 20 des Client untersagen.

Es existiert jedoch ein vom NAT abgeleiteten Verfahren, genannt « Port Schaltung » (eng. port triggering), das bestimmte Port für bestimmte Zwecke öffnet ( port forwarding) wenn eine gewisse Bedingung (request) erfüllt wird. Es ist also eine bedingte Portumleitung, die eine ständige Portverfügung nicht zulässt sondern nur bei einem betimmten Applikationsbedarf.

Zusatzinformationen

Zwecks ausführlichere Informationen wird auf folgende Dokumente über Adressumleitung verwiesen :

Die RFC 1918 und 3022 (in english) mit erläuterungen über das Prinzip der Adressräume und die Adressumsetzung :

Dieses Dokument wurde von Jean-François PILLOU verfasst.


Lesen Sie auch :


NAT- Network address translation, port forwarding and port trigg
NAT- Network address translation, port forwarding and port trigg
NAT- Conversión de direcciones de red, habilitación de puertos y
NAT- Conversión de direcciones de red, habilitación de puertos y
NAT - Translation d'adresses, port forwarding et port triggering
NAT - Translation d'adresses, port forwarding et port triggering
NAT - Traslazione di indirizzi, port forwarding e port triggerin
NAT - Traslazione di indirizzi, port forwarding e port triggerin
NAT - Network Address Translation, porta e encaminhamento porta
NAT - Network Address Translation, porta e encaminhamento porta
Das Dokument mit dem Titel « NAT - Adressenumsetzung, port forwarding und port triggering » aus CCM (de.ccm.net) wird zur Verfügung gestellt unter den Bedingungen der Creative Commons Lizenz. Sie dürfen das Dokument verwenden, verändern sowie Vervielfältigungen dieser Seite erstellen, unter den Bedingungen, die in der vorgenannten Lizenz erwähnt sind und unter der gleichzeitigen Bedingung, dass Sie im Rahmen Ihrer Verwendung, Veränderung oder Vervielfältigung nach außen hin klar und deutlich auf den Urheber (= de.ccm.net) des Dokuments hinweisen.