NAT – Network Address Translation

NAT (Network Address Translation), ou Tradução de Endereços de Rede, também conhecido como masquerading é uma técnica que consiste em reescrever os endereços IP de origem de um pacote que passam por um router ou firewall de maneira que um computador de uma rede interna tenha acesso ao exterior.

Com o surgimento das redes privadas com internet partilhada, surgiu o problema de como os computadores pertencentes à esta rede privada poderiam receber as respostas aos seus pedidos feitos para fora da rede.

Por se tratar de uma rede privada, os números de IP interno da rede (como 10/8, 172.16/12 e 192.168/16) nunca poderiam ser passados para a Internet pois não são roteados nela e o computador que recebesse um pedido com um desses números não saberia para onde enviar a resposta. Sendo assim, os pedidos teriam de ser gerados com um IP global do router. Mas quando a resposta chegasse ao router, seria preciso saber a qual dos computadores presentes na LAN pertencia aquela resposta.

A solução encontrada foi fazer um mapeamento baseado no IP interno e na porta local do computador. Com esses dois dados o NAT gera um número de 16 bits usando a tabela hash, este número é então escrito no campo da porta de origem.

O pacote enviado para fora leva o IP global do router e na porta de origem o número gerado pelo NAT. Desta forma o computador que receber o pedido sabe para onde tem de enviar a resposta. Quando o router recebe a resposta faz a operação inversa, procurando na sua tabela uma entrada que corresponda aos bits do campo da porta. Ao encontrar a entrada, é feito o direcionamento para o computador correto dentro da rede privada.

Esta foi uma medida de reação face à previsão da exaustão do espaço de endereçamento IP, e rapidamente adaptada para redes privadas também por questões econômicas (no início da Internet os endereços IP alugavam-se, quer individualmente quer por classes/grupos).

Um computador atrás de um router gateway NAT tem um endereço IP dentro de uma gama especial, própria para redes internas. Como tal, ao ascender ao exterior, o gateway seria capaz de encaminhar os seus pacotes para o destino, embora a resposta nunca chegasse, uma vez que os routers entre a comunicação não saberiam reencaminhar a resposta (imagine-se que um desses routers estava incluído em outra rede privada que, por ventura, usava o mesmo espaço de endereçamento). Duas situações poderiam ocorrer: ou o pacote seria indefinidamente (TTL – existe um tempo de vida para os pacotes IP serem reencaminhados) reencaminhado, ou seria encaminhado para uma rede errada e descartado.

Por reconhecer apenas os protocolos TCP e UDP, não é possível estabelecer uma conexão que não utilize um desses protocolos.

O número gerado pela tabela de hash tem apenas 16 bits, o que faz com que esta técnica permita apenas 65505 conexões ativas. Dependendo das dimensões da rede e do número de pedidos feitos pelos computadores desta rede, o limite de 65505 pode ser facilmente atingido.

As entradas no NAT são geradas apenas por pedidos dos computadores de dentro da rede privada. Sendo assim, um pacote que chega ao router vindo de fora e que não tenha sido gerado em resposta a um pedido da rede, ele não encontrará nenhuma entrada no NAT e este pacote será automaticamente descartado, não sendo entregue a nenhum computador da rede. Isso impossibilita a entrada de conexões indesejadas e o NAT acaba funcionando como uma firewall.

Desenvolvido pela Cisco, o NAT é usado por um dispositivo (firewall, roteador ou computador) que fica entre uma rede interna e o resto do mundo. O NAT tem muitos formatos e pode trabalhar de várias formas:

– NAT estático – mapeamento de um endereço IP privativo (da rede interna) para um endereço IP válido (público) em uma base um-para-um. É útil principalmente quando um dispositivo precisa estar acessível de fora da rede.

No NAT estático, o computador com o endereço IP 192.168.32.10 sempre será traduzido para 213.18.123.110

– NAT dinâmico – mapeia um endereço IP privativo para um endereço IP público dentro de um grupo de endereços IP públicos.

No NAT dinâmico, o computador com endereço IP 192.168.32.10 será traduzido para o primeiro endereço disponível na faixa de 213.18.123.100 até 213.18.123.150

– Overloading (sobrecarga) – um tipo de NAT dinâmico que mapeia múltiplos endereços IP privativos para um único endereço IP público, usando portas diferentes. Também é conhecido como PAT (tradução de endereço de porta, do inglês Port Address Translation), NAT de endereço único, ou NAT multiplexado por portas.

No overloading, cada computador na rede interna é traduzido para o mesmo endereço IP (213.18.123.100), mas com uma porta diferente

– Overlapping (sobreposição) – quando os endereços IP usados na sua rede interna são endereços IP usados em outra rede, o roteador deve manter uma tabela destes endereços para que consiga interceptá-los e trocá-los por endereços IP públicos únicos. Vale salientar que o roteador NAT deve traduzir os endereços “privativos” para endereços públicos, assim como traduzir os endereços “públicos” para endereços que sejam únicos dentro da rede. Isto pode ser feito através do NAT estático ou usando DNS com NAT dinâmico.

A faixa de IPs privativos (237.16.32.xx) é a mesma cadastrada em outra rede. Portanto, o roteador traduz os endereços para evitar conflitos com outra rede. Também vai traduzir os endereços IP públicos globais de volta para endereços IP locais quando informações forem enviadas para a rede interna.

A rede interna é geralmente uma LAN (do inglês Local Área Network, ou rede local), também chamada de stub domain (ou domínio stub). Um domínio stub é uma LAN que usa endereços IP internamente. A maior parte do tráfego de rede neste tipo de domínio é local, e portanto não sai da rede interna. O stub domain pode ter endereços IP privativos e públicos. É claro que qualquer computador que esteja usando um endereço IP privativo precisará do NAT para se comunicar com o resto do mundo.

O NAT pode ser configurado de várias maneiras. No exemplo abaixo, o roteador NAT está configurado para traduzir endereços IP privativos, da rede interna, para endereços IP públicos. Isto acontece sempre que um dispositivo interno com um endereço privativo precisa se comunicar com a rede pública (externa).

– Um provedor de internet (ISP) designa uma faixa de endereços IP para a sua empresa. Este bloco contém endereços IP públicos e exclusivos, e são chamados de endereços “globais internos”. Endereços IP privativos são divididos em dois grupos. Um deles é um grupo pequeno (endereços “locais externos”) que vão ser usados pelos roteadores NAT. O outro, um grupo bem maior, conhecido por endereços “locais interno”, será usado na rede interna. Os endereços locais externos local são usados para traduzir os endereços IP exclusivos, conhecidos como endereços “globais externos”, de dispositivos na rede pública.

– A maioria dos computadores da rede interna comunica-se usando os endereços “locais internos”.

– Alguns computadores da rede interna comunicam-se muito fora da rede. Estes computadores têm endereços “globais internos”, o que significa que não precisam de tradução.

– Quando um computador na rede interna com um endereço “locais internas” quer se comunicar fora da rede, o pacote vai para um dos roteadores NAT.

– O roteador NAT confere a tabela de roteamento para ver se há uma entrada para o endereço de destino. Se houver, o roteador NAT traduz o pacote e cria uma entrada para ele na tabela de tradução de endereços. Se o endereço de destino não estiver na tabela de roteamento, o pacote é descartado.

– Usando um endereço “global interno”, o roteador envia o pacote para o seu destino.

– Um computador na rede pública envia um pacote para a rede privativa. O endereço de origem no pacote é um endereço “global externo”, enquanto que o endereço de destino é um endereço “global interno”.

– O roteador NAT examina a tabela de tradução de endereços e determina que o endereço de destino esteja ali, mapeado a um computador na rede interna.

– O roteador NAT traduz o endereço “global interna” do pacote para um endereço “local interno”, e o envia para o computador de destino.

O overloading utiliza uma característica da pilha do protocolo TCP/IP, chamada multiplexação, que permite que um computador mantenha várias conexões simultâneas com um computador (ou computadores) remoto, usando portas TCP ou UDP diferentes. O pacote IP tem um cabeçalho que contém as seguintes informações:

– endereço de origem – o endereço IP do computador de origem, como por exemplo 201.3.83.132

– porta de origem – o número da porta TCP ou UDP designada pelo computador de origem para o pacote, como porta 1080

– endereço de destino – o endereço IP do computador que vai receber o pacote, como 145.51.18.223

– porta de destino – o número da porta TCP ou UDP que o computador de origem pede para o computador de destino abrir, como porta 3021

Os endereços especificam as duas máquinas em cada ponta, enquanto os números de porta garantem que a conexão entre os dois computadores possua um identificador único. A combinação destes quatro números define uma conexão TCP/IP única. Cada número de porta usa 16 bits, o que significa que existem 65.536 (216) valores possíveis. Na verdade, como cada fabricante mapeia as portas de um jeito diferente, existem cerca de 4 mil portas disponíveis.

O NAT dinâmico::

– uma rede interna foi configurada com endereços IP que não foram especificamente alocados para aquela empresa, pela IANA, a autoridade mundial que distribui endereços IP. Estes endereços devem ser considerados não roteáveis, já que não são únicos;

– a empresa configura um roteador compatível com o NAT. O roteador tem uma faixa de endereços IP exclusivos fornecidos à empresa pela IANA;

– um computador da rede interna tenta se conectar a um computador da rede externa, como, por exemplo, um servidor de Internet;

– o roteador recebe o pacote do computador da rede interna;

– o roteador salva o endereço IP não roteável do computador em uma tabela de tradução de endereços. O roteador substitui o endereço IP não roteável do computador de origem pelo primeiro endereço IP disponível na faixa de endereços IP exclusivos. A tabela de tradução agora tem um mapeamento do endereço IP não roteável do computador, correspondente a um dos endereços IP exclusivos;

– quando um pacote volta do computador de destino, o roteador confere o endereço de destino no pacote. Ele então busca na tabela de tradução de endereços o computador da rede interna ao qual o pacote pertence. Ele muda o endereço de destino para um dos endereços salvos na tabela de tradução e envia o pacote para aquele computador. Se ele não encontrar um correspondente na tabela, descartará o pacote;

– o computador recebe o pacote do roteador. O processo se repete enquanto o computador estiver se comunicando com o sistema externo;

O overloading:

– uma rede interna foi configurada com endereços IP não roteáveis que não foram especificamente alocados à empresa pela IANA;

– a empresa configura um roteador compatível com o NAT. O roteador tem um endereço IP exclusivo fornecido à empresa pela IANA;

– um computador da rede interna tenta se conectar a um computador da rede externa, como, por exemplo, um servidor de internet;

– o roteador recebe o pacote do computador da rede interna;

– o roteador salva o endereço IP não roteável e o número da porta do computador em uma tabela de tradução de endereços. O roteador substitui o endereço IP não roteável do computador de origem pelo endereço IP do roteador. O roteador substitui a porta de origem do computador que enviou o pacote pelo número da porta que o roteador salvou na tabela de tradução de endereços junto com outras informações de endereço do computador de origem. A tabela de tradução agora tem um mapeamento do endereço IP não roteável e da porta do computador, junto com o endereço IP do roteador;

– quando um pacote volta do computador de destino, o roteador confere a porta. Ele então busca na tabela de tradução de endereços o computador da rede interna ao qual o pacote pertence. Ele muda o endereço e a porta de destino para um dos endereços salvos na tabela de tradução e envia o pacote para aquele computador;

– o computador recebe o pacote do roteador. O processo se repete enquanto o computador estiver se comunicando com o sistema externo;

– como o roteador NAT agora tem o endereço e a porta de origem do computador salvos na tabela de tradução de endereços, ele vai continuar usando o mesmo número de porta enquanto durar a conexão. Um relógio é zerado cada vez que o roteador acessar uma entrada da tabela. Se a entrada não for acessada novamente antes de o tempo expirar, ela é removida da tabela.

O roteador NAT armazena o endereço IP e número de porta de cada computador na tabela de tradução de endereço. Ele então substitui o endereço IP pelo seu próprio endereço IP público e o número da porta correspondente ao local, na tabela, da entrada para o computador de origem do pacote. Portanto, qualquer rede externa vê o endereço IP do roteador NAT e o número de porta designado pelo roteador como informações do computador de origem em cada pacote.

Você pode ter ainda alguns computadores na rede interna que usam endereços IP dedicados. Você também pode criar uma lista de acesso de endereços IP que dizem ao roteador quais computadores na rede precisam do NAT. Todos os outros endereços vão passar sem tradução.

O número de traduções simultâneas que o roteador suporta é determinado principalmente pela quantidade de memória DRAM (Dynamic Random Access Memory, ou memória de acesso randômico dinâmico) que ele tem. Mas como uma entrada na tabela de tradução de endereços tem cerca de 160 bytes apenas, um roteador com 4MB de DRAM teoricamente poderia processar 26.214 traduções simultâneas, o que é suficiente para a maioria das aplicações.

A IANA separou faixas de endereços IP não roteáveis para uso em redes internas. Estes endereços são considerados privativos. Nenhuma empresa ou agência pode reclamar a posse de endereços privativos ou usá-los em computadores públicos. Os roteadores descartam (ao invés de encaminharem) endereços privativos. Isto significa que um pacote de um computador com endereço privativo poderia chegar ao computador de destino, mas a resposta seria descartada pelo primeiro roteador ao qual o pacote chegasse.

Há uma faixa para cada uma das três classes de endereços IP usados para redes:

  • Faixa 1: classe A – 10.0.0.0 até 10.255.255.255
  • Faixa 2: classe B – 172.16.0.0 até 172.31.255.255
  • Faixa 3: classe C – 192.168.0.0 até 192.168.255.255

Apesar de cada faixa estar em uma classe diferente, você não precisa usar uma faixa específica para a sua rede interna. Porém, é recomendável usar, porque reduz bastante a chance de conflito de endereços IP.

Fonte: Internet

2011 05 20