Che cos’è Network Address Translation (NAT)?
Un NAT (Network Address Translation) è il processo di mappatura di un indirizzo IP (Internet Protocol) a un altro modificando l’intestazione dei pacchetti IP durante il transito tramite un router. Ciò contribuisce a migliorare la sicurezza e a ridurre il numero di indirizzi IP di cui un’organizzazione ha bisogno.
Come funziona la traduzione degli indirizzi di rete?
Un NAT funziona selezionando i gateway che si trovano tra due reti locali: la rete interna e la rete esterna. Ai sistemi sulla rete interna vengono in genere assegnati indirizzi IP che non possono essere instradati a reti esterne (ad esempio, reti nel blocco 10.0.0.0/8).
Al gateway vengono assegnati alcuni indirizzi IP validi esternamente. Il gateway fa in modo che il traffico in uscita da un sistema interno sembri provenire da uno degli indirizzi esterni validi. Prende il traffico in entrata rivolto a un indirizzo esterno valido e lo invia al sistema interno corretto.
Questo aiuta a garantire la sicurezza. Perché ogni richiesta in uscita o in entrata deve passare attraverso un processo di traduzione che offre l’opportunità di qualificare o autenticare i flussi in entrata e abbinarli alle richieste in uscita, ad esempio.
NAT conserva il numero di indirizzi IP validi a livello globale di cui un’azienda ha bisogno e, in combinazione con Classless Inter-Domain Routing (CIDR), ha fatto molto per estendere la vita utile di IPv4 di conseguenza. NAT è descritto in termini generali in If RFC 1631.
Quali sono i vari tipi di tecniche NAT?
Il meccanismo NAT (“natting”) è una funzione del router, ed è spesso parte di un firewall aziendale. NAT gateway possibile mappare gli indirizzi IP in vari modi:
- da un indirizzo IP locale a quello globale l’indirizzo IP in modo statico;
- si nasconde un intero spazio di indirizzi IP composto da indirizzi IP privati dietro a un singolo indirizzo IP;
- per una rete privata di grandi dimensioni utilizzando un unico indirizzo IP pubblico utilizzando tabelle di conversione;
- da un indirizzo IP locale oltre a una particolare porta TCP globale di un indirizzo o di un pool di indirizzi IP pubblici; e
- da un indirizzo IP globale a uno qualsiasi di un pool di indirizzi IP locali su base round-robin.
In alcuni casi, gli amministratori di rete definiscono criteri che consentono al dispositivo gateway di assegnare mappature in base alla destinazione prevista (“scegli questo indirizzo esterno per le comunicazioni all’area network del partner A; scegli quell’indirizzo esterno per le comunicazioni al partner B”).
I criteri possono essere utilizzati anche sui protocolli utilizzati (“assegna fuori da questo pool per il traffico HTTP, quel pool per HTTPS”) o su altri fattori.
Un modo più recente di utilizzare NAT si concentra sulla traduzione degli indirizzi IPv4 di un provider ISP in IPv6 e viceversa. Ciò fornisce l’integrazione dell’infrastruttura IPv4 e dei nodi finali negli ambienti IPv6 e consente ai servizi IPv6 di interagire con i sistemi IPv4.
Qual è la differenza tra NAT dinamico (DNAT) e NAT statico (SNAT)?
Un NAT dinamico è comune nelle organizzazioni più grandi con reti interne complesse. Utilizza diversi indirizzi IP disponibili durante la traduzione.
Un esempio di questo può essere visto con Cisco, che ha sviluppato una tecnica che utilizza un sovraccarico NAT per mappare diversi indirizzi IP privati a un singolo indirizzo IP pubblico.
Al contrario, un NAT statico, comune anche nelle grandi organizzazioni, fornisce una mappatura 1: 1 tra un indirizzo IP interno e un indirizzo IP di rete pubblica.