Network Address Translation (NAT/ PAT/ IP Masquerading)

NAT, PAT und IP Masquerading - Gemeinsamkeiten und Unterschiede

Die begrenzte Verfügbarkeit von IP-Adressen hat dazu geführt, daß man sich Gedanken über verschiedene Möglichkeiten machen musste, wie man mit den existierenden Adressen ein größeres Umfeld abdecken kann.
Eine Möglichkeit, um private Netze (und dazu gehört letztendlich auch ein privater Anschluß mit mehr als einem PC) unter Verwendung möglichst weniger Adressen an das Internet anzukoppeln stellen NAT, PAT und IP Masquerading. Alle Verfahren bilden private Adressen gemäß RFC 1918 oder einen proprietären (nicht registrierten) Adressraum eines Netzes auf öffentliche registrierte IP-Adressen ab.

NAT (Network Address Translation)

Beim NAT (Network Address Translation) werden die Addressen eines privaten Netzes über Tabellen öffentlich registrierten IP-Adressen zugeordnet. Dieses hat den Vorteil, dass Rechner, die innerhalb eines provaten Netzes miteinander kommunizieren müssen keine öffentlichen IP-Adressen benötigen.
IP-Adressen interner Rechner, die eine Kommunikation mit Zielen im Internet aufbauen müssen, erhalten in dem Router, der zwischen dem Internet Service Provider (ISP) und dem privaten Netzwerk steht, einen Tabelleneintrag. Durch diese Eins-zu-Eins-Zuordnung, sind diese Rechner nicht nur in der Lage, eine Verbindung zu Zielen im Internet aufzubauen, sondern sie sind auch aus dem Internet erreichbar. Die interne Struktur des Firmennetzwerkes bleibt jedoch nach außen verborgen.

Network Address Translation (NAT)

Ein weiterer Grund für NAT entsteht, wenn Netze mehrerer Unternehmen mit denselben (privaten) Adressen gekoppelt, d.h. zu einem großen zusammen gelegt werden müssen.


IP Masquerading/ PAT

Beim IP Masquerading - manchmal auch als PAT (Port and Address Translation), NPAT/ NAPT (Network [and] Port Address Translation) oder 1-to-n-NAT bezeichnet - bildet alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche (dynamische) IP-Adresse ab. Dies geschieht dadurch, dass bei einer existierenden Verbindung zusätzlich zu den Adressen auch die Portnummern (vgl. IP Header) ausgetauscht werden. Auf diese Weise benötigt ein gesamtes privates Netz nur eine einzige registrierte öffentliche IP-Adresse.
Nachteil dieser Lösung: Die Rechner im privaten Netzwerk können nicht aus dem Internet angewählt werden. Diese Methode eignet sich daher hervorragend dazu, zwei und mehr Rechner eines privaten Anschlusses per DFÜ-Netzwerk an das Internet zukoppeln.
IP Masquerading (Port and Address Translation/ PAT)


IP Masquerading rückt mit dieser Funktionalität sehr nahe an Proxy- und Firewall-Lösungen heran (vgl. auch meine Beschreibung von Wingate).

Hinweis:
Sollen im privaten Netz befindliche Rechner (z.B. ein Web-Server) auch von außen (also dem Internet) erreichbar sein, muss der diesem Service zugeordnete TCP-Port (in unserem Beispiel Port 80) für den eingehenden Verkehr statisch einem bestimmten Rechner (dem Web-Server) zugeordnet werden.
Dies funktioniert jedoch nur mit einem Server pro Service!


IP Masquerading wird von den neuesten LINUX-Kernels unterstützt. Informationen zur Einrichtung von IP Masquerading auf LINUX-Rechnern finden Sie unter den Links.
 
Sollten Sie weitere Fragen zum Thema IP bzw. IP-Adressen haben, dann schauen Sie einmal auf meiner IP-Adress-Seite oder bei meinen IP FAQ vorbei!
 

Links

Kurzbeschreibung des Tec-Channel
Einfache Beschreibung mit Bildern (im PDF-Format)
LINUX HOWTO englische Beschreibung in " The Linux-Tutorial"

 

Weitere Fragen posten Sie bitte in meinem Internet- und Security-Forum!
In besonderen Fällen stehe ich Ihnen auch gerne per E-Mail zur Verfügung!

Homepage [zurück zur TCP/IP-Seite]

(Diese Seite wurde am 13.5.1999 erstellt,
der letzte Update fand statt am 6.4.2009


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg