Network Address Translation (NAT) ermöglicht es Netzwerkgeräten wie Router, Switches und Firewalls, die Ziel- oder Quell- IP Adressen eines Datenpakets in einem Netzwerk durch eine andere Adresse zu ersetzen (maskieren). NAT wird häufig verwendet, um aufgrund der Knappheit öffentlicher IP-Adressen mit privaten IP-Adressen im Internet zu kommunizieren. Siehe auch ASDM Gui
Es gibt Twice-NAT, da werden Quell- und Zieladresse genattet.
Siehe NAT Failover.
Es gibt auch Identity-NAT (auch NAT-Bypass genannt) wobei die reale (lokale) IP genutzt wird. Siehe hier.
ACLs werden verwendet, um zu bestimmen, ob Datenverkehr zugelassen oder verweigert wird.
Schnittstellen werden in INSIDE (lokales Netz) und OUTSIDE (z.b Internet) gegliedert. Es gibt uni-direktionales und bi-direktionales NAT. Uni-direktional bedeutet nur von INSIDE nach OUTSIDE, bi-direktional bedeutet auch umgekehrt (betrifft die Initialisierung). PAT geht nur uni-direktional.
Man unterscheidet zwischen
Siehe auch Types of NAT
Statisches NAT (Network Address Translation) ist eine Methode, um private IP-Adressen in öffentliche IP-Adressen umzuwandeln, um die Kommunikation zwischen einem privaten Netzwerk und dem Internet zu ermöglichen. Im Gegensatz zum dynamischen NAT, bei dem die Zuordnung von privaten zu öffentlichen IP-Adressen dynamisch erfolgt, wird beim statischen NAT eine feste Zuordnung zwischen einer privaten IP-Adresse und einer öffentlichen IP-Adresse hergestellt.
Dynamisches NAT (Network Address Translation) ist eine Methode, um private IP-Adressen in öffentliche IP-Adressen umzuwandeln, damit Geräte in einem privaten Netzwerk mit dem Internet kommunizieren können. Im Gegensatz zum statischen NAT, bei dem eine feste Zuordnung zwischen privaten und öffentlichen IP-Adressen besteht, erlaubt das dynamische NAT die dynamische Zuordnung von IP-Adressen aus einem Pool von öffentlichen IP-Adressen.
Auch als „NAT overload“ oder „PAT“ bezeichnet, wird SNAT verwendet, um mehrere interne Geräte über eine einzige öffentliche IP-Adresse nach außen zu verbinden. Dabei wird die Quell-IP-Adresse eines Pakets beim Verlassen des internen Netzwerks durch die öffentliche IP-Adresse ersetzt.
Verändert die Ziel-IP-Adresse eines Pakets, bevor es im Zielnetzwerk ankommt. Dies wird oft verwendet, um einen Dienst, der unter einer bestimmten öffentlichen IP-Adresse erreichbar ist, zu einem anderen internen Server weiterzuleiten.
Der Hauptzweck von PAT besteht darin, die begrenzte Anzahl von öffentlichen IP-Adressen effizient zu nutzen, indem mehrere Geräte im privaten Netzwerk über eine einzige öffentliche IP-Adresse mit dem Internet kommunizieren können. Dabei werden die Quell-IP-Adressen und Ports der Datenpakete vom privaten Netzwerk so umgeschrieben, dass sie eine eindeutige Kombination aus privater IP-Adresse und Port erhalten, während die Ziel-IP-Adresse und Ports normalerweise unverändert bleiben.
Bei der Verwendung von PAT wird normalerweise eine Netzwerkadresse und ein Port verwendet, um den Verkehr von einem bestimmten Gerät im privaten Netzwerk zu identifizieren. Der Router führt dann eine Übersetzungstabelle, die diese Zuordnungen enthält. Wenn ein Datenpaket aus dem Internet an den Router gesendet wird, überprüft der Router die Tabelle und leitet das Datenpaket an das entsprechende Gerät im privaten Netzwerk weiter.
Umgekehrt, wenn ein Gerät im privaten Netzwerk eine Verbindung zum Internet herstellt, übersetzt der Router die Quell-IP-Adresse und den Quellport des Datenpakets in die öffentliche IP-Adresse und den entsprechenden Port des Routers. Auf diese Weise können mehrere Geräte im privaten Netzwerk über eine einzelne öffentliche IP-Adresse gleichzeitig auf das Internet zugreifen.
Im Full Cone NAT-Szenario setzt ein Gateway interne Adressen und Ports nach einem statischen Muster in eine externe Adresse und deren Ports um. Es erlaubt insbesondere auch, dass so externe Hosts über die externe Adresse des NAT-Gateways Verbindungen zu internen Hosts aufbauen. Full Cone NAT ist auch unter der Bezeichnung port forwarding bekannt.
Im Restricted Cone NAT-Szenario erlaubt das Gateway die Kontaktaufnahme eines externen mit einem internen Host nur, wenn diesem Verbindungsversuch eine Kontaktaufnahme dieses internen Hosts mit dem externen Host vorausging und dabei der gleiche Zielport verwendet wird.
Im Port Restricted Cone NAT-Szenario erlaubt das Gateway die Kontaktaufnahme eines externen mit einem internen Host nur, wenn diesem Verbindungsversuch eine Kontaktaufnahme dieses internen Hosts mit dem externen Host vorausging und dabei der gleiche Zielport und der gleiche Quellport verwendet wird.
Im Symmetric-NAT-Szenario wird jede einzelne Verbindung mit einem unterschiedlichen Quellport ausgeführt, die Beschränkungen sind wie bei Restricted Cone NAT-Szenario. Dadurch dass jede Verbindung einen eigenen Quellport zugewiesen bekommt ist eine Initiierung von Verbindungen durch externe Hosts nach Intern nicht oder kaum möglich.