Ce este traducerea adreselor de rețea?

Traducerea adreselor de rețea (NAT) este procesul prin care un dispozitiv de rețea, de obicei un firewall, atribuie o adresă publică unui computer (sau unui grup de computere) din interiorul unei rețele private. Principala utilizare a NAT este de a limita numărul de adrese IP publice pe care o organizație sau o companie trebuie să le utilizeze, atât în scopuri economice, cât și de securitate.

Cea mai comună formă de traducere de rețea implică o rețea privată mare care utilizează adrese într-un interval privat (de la 10.0.0.0.0 la 10.255.255.255.255, de la 172.16.0.0 la 172.31.255.255.255, sau de la 192.168.0 0 la 192.168.255.255.255). Schema de adresare privată funcționează bine pentru computerele care trebuie să acceseze doar resursele din interiorul rețelei, cum ar fi stațiile de lucru care au nevoie de acces la servere de fișiere și imprimante. Routerele din interiorul rețelei private pot ruta fără probleme traficul între adresele private. Cu toate acestea, pentru a accesa resurse din afara rețelei, cum ar fi Internetul, aceste computere trebuie să aibă o adresă publică pentru ca răspunsurile la solicitările lor să se întoarcă la ele. Aici intră în joc NAT.

Cerințele de internet care necesită traducerea adreselor de rețea (NAT) sunt destul de complexe, dar se întâmplă atât de rapid încât utilizatorul final rareori își dă seama că a avut loc. O stație de lucru din interiorul unei rețele face o cerere către un computer de pe internet. Routerele din cadrul rețelei recunosc faptul că solicitarea nu este pentru o resursă din interiorul rețelei, așa că trimit solicitarea către firewall. Firewall-ul vede cererea venită de la calculatorul cu IP intern. Apoi face aceeași cerere către internet folosind propria adresă publică și returnează răspunsul de la resursa de pe internet către calculatorul din interiorul rețelei private. Din punctul de vedere al resursei de pe internet, aceasta trimite informații la adresa firewall-ului. Din punctul de vedere al stației de lucru, se pare că se comunică direct cu site-ul de pe internet. Atunci când NAT este utilizat în acest mod, toți utilizatorii din interiorul rețelei private care accesează internetul au aceeași adresă IP publică atunci când utilizează internetul. Aceasta înseamnă că este nevoie de o singură adresă publică pentru sute sau chiar mii de utilizatori.

Majoritatea firewall-urilor moderne sunt de tip stateful – adică sunt capabile să stabilească conexiunea între stația de lucru internă și resursa Internet. Ele pot ține evidența detaliilor conexiunii, cum ar fi porturile, ordinea pachetelor și adresele IP implicate. Acest lucru se numește urmărirea stării conexiunii. În acest fel, ei sunt capabili să urmărească sesiunea compusă din comunicarea dintre stația de lucru și firewall și dintre firewall și internet. Când sesiunea se termină, firewall-ul elimină toate informațiile despre conexiune.

Există și alte utilizări ale traducerii adreselor de rețea (NAT), dincolo de simplul fapt de a permite stațiilor de lucru cu adrese IP interne să acceseze internetul. În rețelele mari, unele servere pot acționa ca servere Web și necesită acces de pe Internet. Acestor servere li se atribuie adrese IP publice pe firewall, permițând publicului să acceseze serverele doar prin acea adresă IP. Cu toate acestea, ca un strat suplimentar de securitate, firewall-ul acționează ca intermediar între lumea exterioară și rețeaua internă protejată. Se pot adăuga reguli suplimentare, inclusiv ce porturi pot fi accesate la acea adresă IP. Utilizarea NAT în acest mod permite inginerilor de rețea să direcționeze mai eficient traficul din rețeaua internă către aceleași resurse și să permită accesul la mai multe porturi, restricționând în același timp accesul la firewall. De asemenea, permite înregistrarea detaliată a comunicațiilor dintre rețea și lumea exterioară.

În plus, NAT poate fi utilizat și pentru a permite accesul selectiv la exteriorul rețelei. Stațiilor de lucru sau altor calculatoare care necesită un acces special în afara rețelei li se pot atribui IP-uri externe specifice folosind NAT, permițându-le să comunice cu calculatoare și aplicații care necesită o adresă IP publică unică. Din nou, firewall-ul acționează ca intermediar și poate controla sesiunea în ambele direcții, restricționând accesul la porturi și protocoale.