Che cos’è la traduzione degli indirizzi di rete?

La traduzione degli indirizzi di rete (NAT) è il processo in cui un dispositivo di rete, solitamente un firewall, assegna un indirizzo pubblico a un computer (o gruppo di computer) all’interno di una rete privata. L’uso principale del NAT è quello di limitare il numero di indirizzi IP pubblici che un’organizzazione o un’azienda deve usare, sia per scopi economici che di sicurezza.

La forma più comune di traduzione di rete coinvolge una grande rete privata che usa indirizzi in un intervallo privato (da 10.0.0.0 a 10.255.255.255, da 172.16.0.0 a 172.31.255.255, o da 192.168.0 0 a 192.168.255.255). Lo schema di indirizzamento privato funziona bene per i computer che devono accedere solo a risorse interne alla rete, come le stazioni di lavoro che hanno bisogno di accedere a file server e stampanti. I router all’interno della rete privata possono instradare il traffico tra gli indirizzi privati senza problemi. Tuttavia, per accedere a risorse esterne alla rete, come Internet, questi computer devono avere un indirizzo pubblico affinché le risposte alle loro richieste ritornino a loro. È qui che entra in gioco il NAT.

Le richieste Internet che richiedono la traduzione degli indirizzi di rete (NAT) sono abbastanza complesse, ma avvengono così rapidamente che l’utente finale raramente si accorge che è successo. Una stazione di lavoro all’interno di una rete fa una richiesta a un computer su Internet. I router all’interno della rete riconoscono che la richiesta non è per una risorsa all’interno della rete, quindi inviano la richiesta al firewall. Il firewall vede la richiesta dal computer con l’IP interno. Poi fa la stessa richiesta a Internet usando il proprio indirizzo pubblico, e restituisce la risposta dalla risorsa Internet al computer all’interno della rete privata. Dal punto di vista della risorsa su Internet, sta inviando informazioni all’indirizzo del firewall. Dal punto di vista della stazione di lavoro, sembra che la comunicazione sia direttamente con il sito su Internet. Quando il NAT è usato in questo modo, tutti gli utenti all’interno della rete privata che accedono a Internet hanno lo stesso indirizzo IP pubblico quando usano Internet. Questo significa che è necessario un solo indirizzo pubblico per centinaia o addirittura migliaia di utenti.

La maggior parte dei firewall moderni sono stateful – cioè, sono in grado di impostare la connessione tra la workstation interna e la risorsa Internet. Possono tenere traccia dei dettagli della connessione, come le porte, l’ordine dei pacchetti e gli indirizzi IP coinvolti. Questo si chiama tenere traccia dello stato della connessione. In questo modo, sono in grado di tenere traccia della sessione composta dalla comunicazione tra la stazione di lavoro e il firewall, e il firewall con Internet. Quando la sessione termina, il firewall scarta tutte le informazioni sulla connessione.

Ci sono altri usi per il Network Address Translation (NAT) oltre a permettere semplicemente alle stazioni di lavoro con indirizzi IP interni di accedere a Internet. Nelle grandi reti, alcuni server possono agire come server web e richiedere l’accesso da Internet. A questi server vengono assegnati indirizzi IP pubblici sul firewall, permettendo al pubblico di accedere ai server solo attraverso quell’indirizzo IP. Tuttavia, come ulteriore livello di sicurezza, il firewall funge da intermediario tra il mondo esterno e la rete interna protetta. Si possono aggiungere ulteriori regole, tra cui quali porte possono essere accessibili a quell’indirizzo IP. Usare il NAT in questo modo permette agli ingegneri di rete di instradare in modo più efficiente il traffico della rete interna alle stesse risorse, e permettere l’accesso a più porte, mentre si limita l’accesso al firewall. Permette anche una registrazione dettagliata delle comunicazioni tra la rete e il mondo esterno.

Inoltre, il NAT può essere usato per permettere un accesso selettivo all’esterno della rete. Alle workstation o ad altri computer che richiedono un accesso speciale all’esterno della rete possono essere assegnati IP esterni specifici usando il NAT, permettendo loro di comunicare con computer e applicazioni che richiedono un indirizzo IP pubblico unico. Di nuovo, il firewall agisce come intermediario e può controllare la sessione in entrambe le direzioni, limitando l’accesso alle porte e ai protocolli.