NAT

De MediaWiki do Campus São José
Revisão de 21h00min de 27 de novembro de 2016 por Douglas.as1997 (discussão | contribs) (Criou página com ': NAT, PAT (NAT Overload) e Proxy são as formas de traduzir IPs privados (não roteáveis) em IPs válidos. Nesta página daremos foco total a NAT e PAT. :O NAT (Network Adress ...')
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para: navegação, pesquisa
NAT, PAT (NAT Overload) e Proxy são as formas de traduzir IPs privados (não roteáveis) em IPs válidos. Nesta página daremos foco total a NAT e PAT.
O NAT (Network Adress Translation) é definido na RFC 1918 e foi criado com a finalidade de economizar endereços IPv4 válidos, mas também é usado como método de segurança em alguns

casos. O conceito principal é bastante simples, porém a aplicação da funcionalidade em cenários diversos gera derivações com nomes diferentes, chamados “tipos de NAT”.

Na imagem abaixo é possível observar o funcionamento do NAT em uma rede SOHO.

NAT Imagem 1 Redes.png


O NAT caracteriza-se por fazer a tradução do IP privado para IP válido quando a rede possui apenas um dispositivo (PC, smartphone, etc), praticamente como se aquele dispositivo tivesse um IP

válido configurado em sua placa de rede. Hoje em dia, não é comum encontrar redes com o NAT funcionando igual o descrito acima. Em nossas redes domésticas costumamos usar o PAT (Port Adress Translation, também conhecido como NAT Overload), que é muito confundido com o NAT. O PAT nos permite acessar à internet a partir de vários dispositivos simultaneamente. Ele faz isso através do uso de portas TCP e UDP para identificar as conexões, temos um total de 2^16 portas disponíveis (muitas são pré alocadas para serviços de rede, portanto a quantidade 2^16 cairá). Na imagem abaixo é possível observar como PAT funciona em redes como as de nossas casas.

NAT Imagem 2 Redes.png

Full Cone NAT:

É o único tipo de NAT onde a porta estará permanentemente aberta, e permite conexão de host externo. O “Full cone NAT” mapeia um endereço IP público e uma porta para um IP da LAN,

conhecido como redirecionamento de portas.

Exemplo: Um PC na LAN (IP: 192.168.0.2) tem um serviço rodando na porta 80, é criado uma regra no roteador (IP WAN: 81.45.87.98), onde é direcionado qualquer acesso que venha pela porta

80* externa para o IP 192.168.0.2 com a porta 80 interna. Ou seja, qualquer host que envie dados para 81.45.87.98 pela porta 80, é direcionado para 192.168.0.2 pela porta 80.

  • Os valores de porta (externa e interna) não precisam ser iguais, por exemplo, o serviço pode estar rodando na porta 9090, e no mapeamento ser encaminhado a porta 5000 para 9090. Aparentemente para a Internet pública o serviço está rodando na porta 5000.Uma tentativa de conexão em qualquer outra porta é descartada.

Full Cone NAT 1.png

Restricted Cone NAT:

No Restricted Cone NAT, o cliente interno deve primeiro se conectar com um IP externo antes de passar a receber pacotes do mesmo. O único requisito seria que os pacotes entrem na porta

mapeada na primeira conexão.

Exemplo:Um PC na LAN faz conexão de saída para um site (IP: 56.45.34.78), com IP de origem 192.168.1.2 e porta 56723. Pacotes que chegam do IP 56.45.34.78 com a pora 56723 serão

redirecionados para o IP 192.168.1.2. Se qualquer outro IP tentar utilizar a porta 56723 será bloqueado, da mesma forma se o IP 56.45.34.78 tentar utilizar qualquer outra porta tambem será bloqueada a conexão.

NAT restrito 1.png

Port-Restricted Cone NAT:

O Port-Restricted Cone NAT trabalha da mesma maneira que o Restricted Cone NAT, com a única diferença que também monitora a porta de destino, permitindo a comunicação apenas dela.
Exemplo: Um PC da LAN (IP local de origem: 192.168.1.2) faz conexão a um site (IP: 217.87.69.8) na porta 80 (porta de destino). O NAT, por exemplo, mapeia o IP de origem para o IP da WAN

81.45.87.98 e a porta para 56723. Quando o site enviar pacotes de volta, ele deverá ter seu IP de origem como 217.87.69.8, porta de destino como 56723 (Exatamente como um Restricted Cone NAT) e, além disso, a porta de origem terá que ser a 80. Se qualquer uma destas três informações estiverem incorretas o Port-Restricted Cone NAT desativa a conexão.

Port restrito.png

Symmetric NAT:

O Symmetric NAT aplica restrições exatamente como o Port Restricted Cone NAT, porém manipula a tradução NAT de forma diferente. Todos os tipos de NAT vistos até agora não manipulam o valor

da porta de origem, por exemplo, quando um cliente acessa a internet usando o IP 192.168.0.2 e a porta de origem 56723 o NAT altera o IP de origem para 56.35.67.35 (IP publico), mas mantem a porta 56723. Por sua vez o Symmetric NAT gera novos valores aleatórios para as portas de origem, isso aplica-se a conexões de um mesmo cliente para destinos diferentes.

Exemplo: Um PC na LAN (IP local: 192.168.0.2)faz duas conexões de saida, uma para o IP: 217.87.69.8 e outra para o IP: 56.76.87.78. Até o momento, em todas as conexões NAT, seria alterado

o valor do IP de origem para o IP público, porém iria ser mantido o valor da porta para as duas conexões (Ex: 56723). No Symmetric NAT no entanto o valor da porta de origem é diferente para cada uma das conexões, por exemplo a conexão para 217.87.69.8 recebe a porta 55620 e para 56.76.87.78 recebe a porta 49850.

NAT simetrico.png

O principal problema deste tipo de NAT é que, os equipamentos que rodam serviços na rede (Vídeo-games, Computadores , etc.) em alguns casos, precisam informar seu endereço IP e porta para

que outros equipamentos possam conectar em seu serviço, porém o equipamento em questão não sabe que está sendo utilizado NAT e enviará o IP local (Ex.: 192.168.1.2) e porta (Ex.:54254) , para solucionar este problema de NAT existem vários protocolos distintos, será citado o protocolo STUN, comumente mais utilizado.

STUN (Session Traversal Utilities for NAT):

O dispositivo faz uma conexão com o STUN, e este responde informando-lhe qual IP e porta de origem o dispositivo em questão está utilizando. Agora seu serviço (Rodando no computador,

videogame, etc.) sabe seu IP e porta de origem, para quase todo tipo de NAT está seria solução do problema de NAT, porém, como visto anteriormente, com o Symmetric NAT cada conexão recebe uma porta diferente de origem, ou seja, seu serviço irá anunciar o IP e a porta, porém a conexão será negada, pois a porta anunciada não é a mesma desta nova conexão.

CGNAT (Carrier Grade NAT)

Pejorativamente chamado de “NAT do NAT” e definido na RFC 6264, é uma técnica de tradução de grande porte que vem sendo praticada por algumas operadoras de telecomunicações que não

possuem mais endereços IPv4 disponíveis e, portanto, se encontram em situação crítica. Essa prática consiste em aplicar o NAT na própria rede da operadora, antes mesmo de chegar ao usuário, entregando para seu cliente um endereço privado. Os IPs “válidos” que chegam na interface WAN do cliente possuem o prefixo 100.64.0.0/10, a RFC do CGNAT tornou esse endereço não roteável e de uso exclusivo das operadoras.

A principal desvantagem do uso do CGNAT por parte de uma operadora de internet, além de comprometer a segurança da rede, é a retirada da possibilidade do cliente efetuar um redirecionamento

de portas sozinho. Esta ação passa a ter a necessidade de um trabalho conjunto entre operadora e cliente.