O que é Network Address Translation?
Network Address Translation (NAT) é o processo onde um dispositivo de rede, geralmente um firewall, atribui um endereço público a um computador (ou grupo de computadores) dentro de uma rede privada. O principal uso de NAT é limitar o número de endereços IP públicos que uma organização ou empresa deve usar, tanto para fins econômicos quanto de segurança.
A forma mais comum de tradução de rede envolve uma grande rede privada usando endereços em uma faixa privada (10.0.0.0 a 10.255.255.255, 172.16.0.0 a 172.31.255.255, ou 192.168.0 0 a 192.168.255.255). O esquema de endereçamento privado funciona bem para computadores que só têm que acessar recursos dentro da rede, como estações de trabalho que precisam de acesso a servidores de arquivos e impressoras. Roteadores dentro da rede privada podem rotear o tráfego entre endereços privados sem problemas. Entretanto, para acessar recursos fora da rede, como a Internet, esses computadores têm que ter um endereço público para que as respostas às suas solicitações possam retornar a eles. É aqui que o NAT entra em jogo.
Requerimentos da Internet que requerem Tradução de Endereço de Rede (NAT) são bastante complexos, mas acontecem tão rapidamente que o usuário final raramente sabe que isso ocorreu. Uma estação de trabalho dentro de uma rede faz uma requisição a um computador na Internet. Roteadores dentro da rede reconhecem que a requisição não é para um recurso dentro da rede, então eles enviam a requisição para o firewall. O firewall vê a requisição do computador com o IP interno. Ele então faz a mesma solicitação para a Internet usando seu próprio endereço público, e retorna a resposta do recurso da Internet para o computador dentro da rede privada. Da perspectiva do recurso na Internet, ele está enviando informações para o endereço do firewall. Do ponto de vista da estação de trabalho, parece que a comunicação é feita diretamente com o site na Internet. Quando NAT é utilizado desta forma, todos os usuários dentro da rede privada acessam a Internet têm o mesmo endereço IP público quando utilizam a Internet. Isso significa que apenas um endereço público é necessário para centenas ou mesmo milhares de usuários.
Os firewalls mais modernos são stateful – ou seja, eles são capazes de configurar a conexão entre a estação de trabalho interna e o recurso da Internet. Eles podem acompanhar os detalhes da conexão, como portas, ordem de pacotes, e os endereços IP envolvidos. Isto é chamado de manter o controle do estado da conexão. Desta forma, eles são capazes de acompanhar a sessão composta de comunicação entre a estação de trabalho e o firewall, e o firewall com a Internet. Quando a sessão termina, o firewall descarta todas as informações sobre a conexão.
Existem outros usos para Tradução de Endereços de Rede (NAT) além de simplesmente permitir que estações de trabalho com endereços IP internos acessem a Internet. Em grandes redes, alguns servidores podem atuar como servidores da Web e exigir acesso a partir da Internet. A esses servidores são atribuídos endereços IP públicos no firewall, permitindo que o público acesse os servidores apenas através desse endereço IP. Entretanto, como uma camada adicional de segurança, o firewall atua como intermediário entre o mundo externo e a rede interna protegida. Regras adicionais podem ser adicionadas, incluindo quais portas podem ser acessadas nesse endereço IP. Usar NAT desta forma permite aos engenheiros de rede rotear mais eficientemente o tráfego da rede interna para os mesmos recursos, e permitir o acesso a mais portas, enquanto restringe o acesso no firewall. Ele também permite o registro detalhado das comunicações entre a rede e o mundo exterior.
Adicionalmente, o NAT pode ser usado para permitir o acesso seletivo ao exterior da rede, também. Estações de trabalho ou outros computadores que requerem acesso especial fora da rede podem ser atribuídos IPs externos específicos usando NAT, permitindo-lhes comunicar com computadores e aplicações que requerem um endereço IP público único. Novamente, o firewall atua como intermediário e pode controlar a sessão em ambas as direções, restringindo o acesso às portas e protocolos.