Co je překlad síťových adres?
Překlad síťových adres (NAT) je proces, při kterém síťové zařízení, obvykle firewall, přiřadí veřejnou adresu počítači (nebo skupině počítačů) uvnitř privátní sítě. Hlavní využití NAT spočívá v omezení počtu veřejných IP adres, které musí organizace nebo společnost používat, a to jak z úsporných, tak z bezpečnostních důvodů.
Nejběžnější forma síťového překladu zahrnuje velkou soukromou síť používající adresy v soukromém rozsahu (10.0.0.0 až 10.255.255.255, 172.16.0.0 až 172.31.255.255 nebo 192.168.0 0 až 192.168.255.255). Schéma privátního adresování je vhodné pro počítače, které mají přístup pouze ke zdrojům uvnitř sítě, jako jsou pracovní stanice, které potřebují přístup k souborovým serverům a tiskárnám. Směrovače uvnitř privátní sítě mohou bez problémů směrovat provoz mezi privátními adresami. Pro přístup ke zdrojům mimo síť, například k Internetu, však tyto počítače musí mít veřejnou adresu, aby se k nim vrátily odpovědi na jejich požadavky. Zde vstupuje do hry NAT.
Internetové požadavky, které vyžadují překlad síťových adres (NAT), jsou poměrně složité, ale probíhají tak rychle, že koncový uživatel málokdy ví, že k nim došlo. Pracovní stanice uvnitř sítě zadá požadavek počítači v Internetu. Směrovače v síti rozpoznají, že požadavek nesměřuje k prostředku uvnitř sítě, a odešlou jej na bránu firewall. Brána firewall vidí požadavek z počítače s vnitřní adresou IP. Poté odešle stejný požadavek do Internetu pomocí své vlastní veřejné adresy a vrátí odpověď z internetového zdroje počítači uvnitř privátní sítě. Z pohledu prostředku v Internetu se jedná o odesílání informací na adresu brány firewall. Z pohledu pracovní stanice se zdá, že komunikace probíhá přímo se stránkou na Internetu. Při použití NAT tímto způsobem mají všichni uživatelé uvnitř privátní sítě, kteří přistupují k internetu, při používání internetu stejnou veřejnou IP adresu. To znamená, že pro stovky nebo dokonce tisíce uživatelů je potřeba pouze jedna veřejná adresa.
Většina moderních firewallů je stavová – to znamená, že jsou schopny nastavit spojení mezi vnitřní pracovní stanicí a internetovým zdrojem. Dokážou sledovat podrobnosti spojení, jako jsou porty, pořadí paketů a zúčastněné adresy IP. Tomu se říká sledování stavu připojení. Tímto způsobem jsou schopny sledovat relaci složenou z komunikace mezi pracovní stanicí a bránou firewall a bránou firewall s Internetem. Když relace skončí, brána firewall všechny informace o spojení zahodí.
Překlad síťových adres (NAT) má i jiné využití než jen umožnit pracovním stanicím s interními IP adresami přístup k internetu. Ve velkých sítích mohou některé servery fungovat jako webové servery a vyžadovat přístup z Internetu. Těmto serverům jsou na bráně firewall přiřazeny veřejné IP adresy, což umožňuje přístup veřejnosti k serverům pouze prostřednictvím této IP adresy. Jako další vrstva zabezpečení však brána firewall funguje jako prostředník mezi vnějším světem a chráněnou vnitřní sítí. Lze přidat další pravidla, včetně toho, ke kterým portům lze na dané IP adrese přistupovat. Použití NAT tímto způsobem umožňuje síťovým inženýrům efektivněji směrovat provoz v interní síti ke stejným zdrojům a povolit přístup k více portům a zároveň omezit přístup na bráně firewall. Umožňuje také podrobné protokolování komunikace mezi sítí a vnějším světem.
Dále lze NAT použít také k povolení selektivního přístupu k vnější části sítě. Pracovním stanicím nebo jiným počítačům, které vyžadují zvláštní přístup mimo síť, lze pomocí NAT přiřadit specifické vnější IP adresy, což jim umožní komunikovat s počítači a aplikacemi, které vyžadují jedinečnou veřejnou IP adresu. Brána firewall opět funguje jako prostředník a může řídit relaci v obou směrech, omezovat přístup k portům a protokolům.