6.7    Port and Address Translation (PAT), Network Address Translation (NAT)

IPv4-Adressen sind schon längere Zeit ein knappes Gut. Solange Sie nicht flächendeckend auf IPv6 zurückgreifen können, müssen Sie deshalb zumindest noch übergangsweise die damit verbundenen Probleme meistern. Solange Sie genau einen Rechner mit dem Internet verbinden möchten, brauchen Sie keine zusätzlichen Maßnahmen zu ergreifen (Abbildung 6.15).

Sobald Sie aber ein kleines LAN mit dem Internet verbinden möchten, müssen Sie diese einzige IP-Adresse vom Internet-Provider mit all Ihren lokalen Rechnern teilen.

Mittels der Port and Address Translation (PAT, auch als IP-Masquerading bezeichnet) setzen Sie (viele) private IP-Adressen auf eine (einzige) im Internet gültige Adresse um. Hierzu ersetzt Ihr Einwahl-Router die Quelladressen und -Ports aus dem lokalen Netz durch seine eigenen Angaben und sendet sie in das Internet. Anhand einer Tabelle hält er fest, für welche Rechner er das aktuell vornimmt.

Damit erkennt er die Antworten aus dem Internet und sendet Antwortpakete an die anfragenden lokalen Rechner zurück. In Abbildung 6.16 sehen Sie ein Beispiel für PAT. Darin wird der gleichzeitige Zugriff mehrerer Rechner aus dem privaten Netz auf ein einziges Ziel im Internet dargestellt. Beachten Sie die Umsetzung der Port-Nummern.

Anbindung einzelner Rechner an das Internet

Abbildung 6.15     Anbindung einzelner Rechner an das Internet

Internetzugriff mit PAT

Abbildung 6.16     Internetzugriff mit PAT

Durch dieses Verfahren bleiben Ihre Rechner im Allgemeinen recht gut hinter dem Router verborgen. Sie können diesen Umstand in Ihr Sicherheitskonzept mit einbeziehen, solange Sie IPv4-Adressen benutzen.

Möchten Sie von außen einen oder mehrere Ihrer Rechner in Ihrem privaten Netz erreichen, benötigen Sie hierzu die Network Address Translation (NAT). Diese setzt IP-Adressen 1:1 um. Solange Sie nur für einen Rechner den Netzzugriff von außen benötigen, genügt Ihnen Ihre einzige IPv4-Adresse vom Internet-Provider. Wenn Sie mehrere Rechner »ans Netz« bringen wollen, würden Sie auch mehrere Adressen Ihres Internet-Providers benötigen. In modernen Einwahl-Routern finden Sie dieses Problem gelöst. Diese arbeiten mit einer Mischform von PAT und NAT, und Sie kommen mit einer einzigen Adresse aus. Sie müssen allerdings mit einem kleinen Kompromiss leben: Sobald Sie zweimal denselben Dienst (HTTP, HTTPS, FTP, SSH) über den Router mit dem Internet verbinden möchten, benötigt einer der lokalen Rechner hierfür eine abweichende Port-Nummer (Abbildung 6.17).

PAT/NAT zur Verbindung mit dem Internet

Abbildung 6.17     PAT/NAT zur Verbindung mit dem Internet