Netzwerkadressübersetzung

NAT (Network Adress Translation) ist in Computernetzwerken ein Verfahren, bei dem private IP-Adressen auf öffentliche IP-Adressen abgebildet werden. Man spricht dabei von maskieren.

NAT wird aus verschiedenen Gründen verwendet. Hauptsächlich ist NAT notwendig, weil öffentliche IP-Adressen immer knapper werden und man deshalb private IP-Adressen einsetzen muss. Zum Anderen kann es der Datensicherheit dienen, weil die interne Struktur des Netzwerks nach außen hin verborgen bleibt (Security by Obscurity).

Ein NAT-Gerät verbindet mit zwei Netzwerkkarten das lokale Netz mit dem Internet. Man unterscheidet zwischen Source NAT, bei dem die Quell-IP-Adresse ersetzt wird, und Destination NAT, bei dem die Ziel-IP-Adresse ersetzt wird. Bei NAT wird jede interne IP durch eine externe IP ersetzt. Man spricht deshalb von einer 1:1 Übersetzung.

Beispiel: Öffentliche verfügbare Adressen: 205.0.0.0/24

Source NAT:

Bei ausgehenden Paketen wird die (private) Quell-IP-Adresse durch eine noch nicht benutzte (öffentliche) IP ersetzt. Zusätzlich merkt sich der Router mittels einer Tabelle die Quell- und Ziel-IP-Adresse:

Destination NAT:

Bei eingehenden Paketen kann anhand der Quell-IP-Adresse und des Tabelleneintrags festgestellt werden, welcher Computer die Pakete angefordert hatte (hier: 192.168.0.2 und 192.168.0.3). Der Router kann dadurch die (öffentliche) Ziel-IP durch die ursprüngliche Quell-IP 192.168.0.2 bzw. 192.168.0.3 austauschen.

Für den Host im internen Netz (z.B. 192.168.0.2) sind diese Vorgänge transparent, d.h. er bekommt von der Adressumsetzung nichts mit. Es können auch Verbindungen von extern nach intern aufgebaut werden. Ein Host könnte somit auch als Server dienen.

Masquerading ist eine spezielle Form von NAT, bei dem auch Ports umgeschrieben werden.