Network Address Translation (NAT) und IP-Masquerading

Falls sich im Netzwerk schon DNS-Server, Gateways oder DHCP-Server befinden, sollte kein Internet Connection Sharing genutzt werden, sondern NAT (Network Address Translation). Hier fungiert der Rechner mit der Internetverbindung als ein (transparenter) Proxy, der IP-Adressen der Clients intern auf Portnummern abbildet und dann mit die Adressen im Internet Kontakt aufnimmt. Die zurückkommenden Pakete werden dann an die jeweiligen Ports weitergeleitet.
Die begrenzte Verfügbarkeit von IP-Adressen hat dazu geführt, daß man sich Gedanken über verschiedene Möglichkeiten machen mußte, wie man mit den existierenden Adressen ein größeres Umfeld abdecken kann. Eine Möglichkeit, um private Netze (und dazu gehört letztendlich auch ein privater Anschluß mit mehr als einem PC) unter Verwendung möglichst weniger Adressen an das Internet anzukoppeln stellen NAT, PAT und IP Masquerading. Alle Verfahren bilden private Adressen gemäß RFC 1918 oder einen proprietären (nicht registrierten) Adreßraum eines Netzes auf öffentliche registrierte IP-Adressen ab.

• NAT (Network Address Translation)
  Beim NAT (Network Address Translation) werden die Adressen eines privaten Netzes über Tabellen öffentlich registrierten IP-Adressen zugeordnet. Der Vorteil besteht darin, daß Rechner, die in einem privaten Netz miteinander kommunizieren, keine öffentlichen IP-Adressen benötigen. IP-Adressen interner Rechner, die eine Kommunikation mit Zielen im Internet aufbauen, erhalten in dem Router, der zwischen dem Internet Service Provider (ISP) und dem privaten Netzwerk steht, einen Tabelleneintrag. Durch diese Eins-zu-Eins-Zuordnung sind diese Rechner nicht nur in der Lage, eine Verbindung zu Zielen im Internet aufzubauen, sondern sie sind auch aus dem Internet erreichbar. Die interne Struktur des Firmennetzwerkes bleibt jedoch nach außen verborgen.

  

   

• IP Masquerading, das manchmal auch als PAT (Port and Address Translation) bezeichnet wird, bildet alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche IP-Adresse ab. Dies geschieht dadurch, daß bei einer existierenden Verbindung zusätzlich zu den Adressen auch die Portnummern ausgetauscht werden. Auf diese Weise benötigt ein gesamtes privates Netz nur eine einzige registrierte öffentliche IP-Adresse. Der Nachteil dieser Lösung besteht darin, daß die Rechner im privaten Netzwerk nicht aus dem Internet angewählt werden können. Diese Methode eignet sich daher hervorragend, um zwei und mehr Rechner eines privaten Anschlusses per DFÜ-Netzwerk oder ISDN-Router an das Internet zu koppeln.

  

  IP Masquerading rückt mit dieser Funktionalität sehr nahe an Proxy- und Firewall-Lösungen heran, wobei ein Proxy explizit für ein Protokoll (z. B. HTTP) existieren und aufgerufen werden muß.