NAT - Netzwerkadressübersetzung
NAT ist eine Technik, um eine begrenzte Anzahl von IP-Adressen mehrfach zu vergeben, indem verschiedene Netzwerke zusammengeschlossen werden. Seit der Erweiterung der IP-Adressen im Juni 2012 wird die Technik vor allem noch von Routern verwendet.
Das NAT-Konzept
Das Konzept der Netzwerkadressübersetzung oder NAT (Network Address Translation wurde entwickelt, um das Problem der knappen IP-Adressen im IPv4-Protokoll zu umgehen.
Die IPv4-Adressierung bot keine ausreichende Zahl routbarer, also durch Router adressierbarer und auf der Welt einzigartiger Adressen, damit sich alle verfügbaren Rechner ans Internet anbinden konnten. Der IPv4-Standard benutzte 32-Bit-Adressen und damit gab es im Netz maximal 4.294.967.296 mögliche Adressen. 2012 wurde das Internet auf IPv6 umgestellt, wo jede Adresse aus 128 Stellen besteht. Damit stieg die Anzahl der einmal zu vergenden Adressen auf 340 Sextillionen (340 plus 36 Nullen).
NAT beruht auf der Verwendung eines Internet-Protokollumsetzers (Gateway, zu deutsch Durchgang) mit wenigstens einer Netzwerkschnittstelle zum Intranet und wenigstens einer Schnittstelle zum Internet (eine verfügbare routbare Adresse), damit sämtliche Maschinen des Netzwerks damit ans Netz gehen können:
Ziel ist, auf der Gateway-Ebene eine Übersetzung der netzinternen Pakete in Richtung Außennetz zu bewerkstelligen. Jeder Rechner mit einem Internet-Zugangsbedarf wird so konfiguriert, dass er das NAT-Gateway ansprechen kann (durch Eingabe der IP-Adresse ins Feld Gateway der TCP/IP-Parameter). Sobald der Rechner eine Internetanfrage meldet, setzt das Gateway die Anfrage an seiner Stelle ab, empfängt für ihn die Antwort und überträgt sie an den Rechner:
Durch die vom Gateway erzeugte vollständige Verschleierung der Netzwerkadresse, bietet das Prinzip der Adressübersetzung auch eine Schutzfunktion. Für jemandem außerhalb des Netzwerks scheinen sämtliche formulierte Anfragen von der Gareway-IP-Adresse zu kommen.
Adressraum
Die mit der Verwaltung des öffentlichen Adressraums (routbare IP-Adressen) beauftragte Behörde ist die IANA (Internet Assigned Number Authority). Der RFC 1918 definiert private Adressräume, die nicht von der IANA vergeben werden und für die IP-adressierbaren Geräte des eigenen Intranets benutzt werden können.
Diese sogenannte nicht routbaren Adressen entsprechen den folgenden Bereichen.
Klasse A: Bereich von 10.0.0.0 bis 10.255.255.255
Klasse B: Bereich von 172.16.0.0 bis 172.31.255.255
Klasse C: Bereich von 192.168.0.0 bis 192.168.255.55
Netzinterne Geräte, die über einen Router mit dem Internet verbunden sind und keine eigene öffentliche IP-Adresse besitzen, müssen Adressen aus diesen Bereichen wählen. Für kleine Heimnetze wird im Allgemeinen der Bereich von 192.168.0.1 bis 192.168.0.255 verwendet.
Statische Übersetzung
Das Prinzip vom statischen NAT beruht auf der Assoziierung einer öffentlichen und einer netzinternen Adresse. Der Router (oder eher das Gateway]) erlaubt demnach die Assoziierung einer privaten IP-Adresse (zum Beispiel 192.168.0.1) mit einer routbaren öffentlichen IP-Adresse im Internet und die Übersetzung in beide Richtungen mittels einer Adressänderung im IP-Paket.
Die statische Adressübersetzung sichert so ein transparentes Verbinden von netzinternen Geräten mit dem Internet, löst aber nicht das Problem der Adressenknappheit, da n routbare IP-Adressen nötig sind für die Verbindung mit n netzinternen Geräten.
Dynamische Übersetzung
Durch das dynamische NAT werden routbare IP-Adressen (oder ein veminderter Satz an routbaren IP-Adressen) im internen Netz zwischen verschiedenen Geräten geteilt mittels privater Adressierung. So besitzen sämtliche Maschinen eines Netzes von außen betrachtet ein und dieselbe IP-Adresse. Anstelle von dynamischen Adressen wird aus diesem Grunde auch der Ausdruck IP-"Maskarade" (IP masquerading) benutzt.
Zwecks Multiplexing (Verteilen) verschiedener IP-Adressen auf eine (oder mehrere wenige) routbare IP-Adressen, nutzt das dynamische NAT das sogenannte Port-Translation Verfahren oder PAT (Port Address Translation). Dadurch werden verschiedenen Anfragen andere Ports zugeteilt, so dass mit den Anfragen zusammenhängende Beziehungen im Innennetz erhalten bleiben und alle Antworten aus dem Internet an die IP-Adresse des Routers gerichtet werden.
Port Forwarding
Adressübersetzungen erlauben interne Anfragen nur in Richtung Außennetze. Einem außerhalb des Netzwerks befindlichen Gerät wird das Senden eines Pakets an ein internes Gerät untersagt. Mit anderen Worten: Die Geräte im Innennetz dürfen nicht als Server für die Geräte im Außennetz dienen.
Aus diesem Grund existiert eine NAT-Erweiterung, die Port-Umleitung (Port Forwarding oder Port Mapping) gennant wird. Das Gateway wird so konfiguriert, dass einem Gerät aus dem internen Netz sämtliche Daten aus einem bestimmten Port zugeordet werden. Als Beispiel: Wenn man von Außen einen Webserver (Port 80), der intern die Adresse 192.168.1.2 hat, erreichen will, muss die Portumleitungsregel auf dem Gateway so definiert sein, dass alle Pakete, die auf Port 80 ankommen an das Gerät 192.168.1.2 weitergeleitet werden.
Port Triggering
Die meisten Client-Server-Anwendungen setzen Anfragen zu einem Fernhost auf einen bestimmten Port und machen wiederum einen anderen Port frei für den Rücklauf der Daten. Trotzdem werden bestimmte Anwendungen für den Datenaustausch mit dem Server mehr als einen Port benötigen. Dies ist beispielsweise der Fall bei FTP, wo Eingangsdaten über Port 21 kommen, aber Ausgangsdaten über Port 20 gehen. Beim NAT-Verfahren wird das Gateway nach dem Öffnen einer Verbindung auf Port 21 des Ferngeräts die Daten auf einem einzigen Port erwarten und Anfragen für Port 20 des Client untersagen.
Es existiert jedoch ein von NAT abgeleitetes Verfahren, die sogenannte Port-Schaltung (port triggering), das bestimmte Ports für bestimmte Zwecke öffnet (port forwarding), wenn eine gewisse Bedingung (request) erfüllt wird. Es handelt sich also um eine bedingte Port-Umleitung, die eine ständige Port-Verfügung nicht zulässt, sondern nur für den Bedarf bestimmter Anwendungen.
Foto: © Olivier Le Moal - Shutterstock.com