NAT - Network Address Translation

Beschäftigt man sich mit dem Teilen eines Internetzugangs so stösst man nach kurzer Zeit auf den Begriff NAT - ausgeschrieben bedeutet diese Abkürzung: Network Address Translation - Übersetzung von Netzwerkadressen. Entstanden ist dies Technik 1993. Bereits damals war es absehbar, daß der durch IPv4 verfügbare Adresseraum in Zukunft nicht mehr ausreichen wird, damit alle Rechner sich an das Internet anschließen können. NAT wurde damals als eine Übergangslösung bis zur Entwicklung eines neuen Protokolls (IPv6) bezeichnet. Es hat sich jedoch bis heute zu einem wichtigen Standard entwickelt. Fast jeder im SOHO-Bereich verfügbare Router beherrscht diese Funktionalität. Auch Geräte für den "gehobenen" Bedarf bieten dies als Option an.

Vorraussetzung für die Nutzung der NAT Technologie war die Unterteilung des Adressraums von Ipv4 in zwei Teile: den wiederverwendbaren (privaten) und global eindeutigen (öffentlichen) Bereich. Adressen aus dem privaten Adressraum können somit jederzeit und von jedem benutzt werden, um ein größeres Netzwerk aufzubauen und dieses durch ein NAT-Device mit dem Internet zu verbinden. Der private Adressraum (siehe auch: Internet Protokoll) gliedert sich wie folgt:
  • Klasse A - 10.0.0.0 bis 10.255.255.255 (1 Netz)
  • Klasse B - 172.16.0.0 bis 172.31.255.255 (16 Netze)
  • Klasse C - 192.168.0.0 bis 192.168.255.255. (256 Netze)
Ein alter Netzwerker versteht dabei die 1:1 Übersetzung von externen (öffentlichen) IP-Adresse auf eine Adresse des internen Netzwerkes. Diese Form wird als static NAT bezeichnet. Alle Packte von und zu einer speziellen IP-Adresse sind dabei direkt mit einem Computer im internen Netzwerk verknüpft.

Die breite Masse versteht unter NAT eigentlich das sogenannte Port and Network Address Translation (PNAT). Dadurch ist es mehreren Clients in einem Netzwerk möglich die gleiche externe IP Adresse zu benutzen. Diese erscheint dann gegenüber anderen Server als Ursprungsadresse. Das NAT-Gerät ersetzt die orinale IP-Adresse und die zugehörigte Portnummer durch eine gültige öffentliche IP Adresse und Port auf dem externen Interface. Der NAT Server zeichnet die Zuordnung interne IP / Port // externe IP / Port in einer NAT Tabelle auf. Dadurch ist es möglich, daß die Antwort des Servers auch an den richtigen Client im internen Netzwerk gesendet wird.

Die NAT Technik funktioniert, da die Headerinformationen der Netzwerk- und Transportschicht (vgl. OSI-Modell)überschrieben werden können, und diese Änderungen entsprechend protokolliert werden.

Diese Form wird als "Many to one NAT" (n:1) bezeichnet und taucht unter folgenden Begriffen auf: "Hide NAT" (Checkpoint) und "Masquarading" (IPTables, NetFilter). Prinzipiell werden hier die gleichen Techniken beschrieben, jedoch gibt es kleine Unterschiede in der Implementierung:

Bei "Hide NAT" werden folgende Regeln für das PAT (Port Adress Translation) verwendet.
  • Quellport unter 1024 --> Portpool für neuen Quellport: 600 bis 1023
  • Quellport über 1024 ---> Portpool für neuen Quellport: 10000 bis 60000
Bei "Masquerading" werden für PAT die Quellports in drei Klassen eingeteilt:
  • Klasse a: Port unter 512
  • Klasse b: Port zwischen 512 und 1023
  • Klasse c: Port über 1024
Die Regel besagt, daß Ports aus einer Klasse nie in den Bereich einer anderen Klasse gemappt werden. Das heißt: Liegt der Quellport zwischen 512 und 1023, so wird er nie in die Klassen a und c gemappt.






Quellen: Vielen Dank an Simon für seine Ausführungen, welche als Grundlage für diesen Beitrag dienten
Artikel Info
online seit:  01.12.02
Autor: Robert Sieber
Bewertung:

Rating : 3.6Rating : 3.6Rating : 3.6Rating : 3.6

Sie können diesen Artikel:

  • bewerten
  • kommentieren (2)
  • weiterempfehlen
    		•
     

    Nutzungshinweis und Copyright Dieser Beitrag wurde unter Verwendung der genannten Quellen geschrieben. Alle Rechte liegen beim Autor! Jede Verwertung außerhalb der Grenzen des Urheberrechtsgesetztes ist ohne Zustimmung des Autors unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmung und die Einspeicherung und Bearbeitung in elektronischen Systemen.

    Die rechtmäßige Verlinkung dieser Seite ist ausdrücklich erwünscht. Dabei muß klar erkennbar sein, daß es sich nicht um eigenen Inhalt der verlinkenden Seiten handelt. Des Weiteren wäre es nett, wenn der Webmaster von der Verlinkung informiert wird. Eine unrechtmäßige Verlinkung (Laden der Seite innerhalb von Frames u.ä.) ist ausdrücklich verboten.

    Nutzungserlaubnis für www.protecus.de und www.different-thinking.de wurde durch die Autoren erteilt!
    Hauptseite rechtliche Hinweise Impressum

    hosted by All-Inkl