< voltar ao índice

A razão pela qual o NAT é tão importante é, como já dissemos, que o IPV4 fornece  um  número  limitado

de endereços (existem 4 octetos, totalizando 32 bits de endereçamento). Com  o  advento  da  RFC 1918, 

foram criadas regras que permitiam a utilização de endereços não-roteáveis nas redes locais, evitando  que

toda e qualquer máquina que quisesse se conectar a uma rede tivesse  que  ser  reconhecida  por  um  único  

e exclusivo endereço em  toda  a  Internet. Com  isso,  criam-se  redes  isoladas. Ainda  há  a  necessidade 

de essas redes se comunicarem. É aí que entra a tradução de endereços.

O NAT  opera  normalmente  em  um  roteador  ou  em  um  firewall,  que  são  dispositivos que recebem 

conexões de diferentes redes  em seus terminais,  como podemos ver no desenho abaixo:

			Figura 1: roteador interligando a Rede Pública e a Rede Local

			Figura 2: Firewall interligando 2 Redes Locais à Rede Pública

Nota-se que nas 2 figuras existem 253 máquinas na rede local querendo acessar a rede pública ou   válida. 

Em uma situação normal - sem NAT - , haveria a  necessidade  de  255  endereços  válidos  para   prover

esse acesso. 

Com  a  tradução  de  endereços, esse  problema  passa  a  não  existir. É  possível  atribuir-se  endereços

 não - roteáveis  à  rede  interna  e  traduzir  esses  endereços  para  um  único  ou  mais endereços válidos.

 Entenda-se  por  endereços  não-roteáveis   aqueles  definidos  pela  IANA  (Internet  Assigned  Numbers

Authority) para serem utilizados em redes locais. Segundo a RFC 1918, seguem estes endereços:

Os ISPs ( Internet Service Providers)  são os que mais tiram vantagens dessa solução, pois evita que  eles 

tenham que registrar uma grande quantidade de endereços no IANA.  Além  disso,  as  empresas  podem 

e gerenciar o seu próprio plano de endereçamento IP, utilizando e pagando por um número reduzido de IPs

válidos.

< voltar ao índice 

Funcionamento:

Tome-se como exemplo a rede exibida abaixo:

  Figura 3:  Usuários Locais querendo acesso ao servidor 200.244.37.76

Nessa rede, os usuários da rede local 10.40.1.0/24 pretendem acessar o servidor do site de busca Cadê , 

que possui um endereço roteável (válido) 200.244.37.76. O administrador dessa rede seguiu a RFC 1918

mas agora encontra um problema: como sua rede 10.40.1.0 /24  - não roteável - vai acessar o servidor do

Cadê ? A resposta é óbvia: fazendo um NAT, no caso do exemplo, no Firewall. Conforme foi mencionado

anteriormente, este poderia ser feito no roteador sem problemas.

Com o NAT habilitado, o usuário  ao chamar a página Web em questão no seu browser, fará  com  que  a

sua  máquina   envie um  pacote  endereçado  a  200.244.37.76. O  endeço  IP  da  origem  (por exemplo

10.40.1.10) e a porta de origem ( por exemplo a 1500)  estão  no  pacote,  assim  como  o  endereço  de

destino(200.244.37.76) e a porta de destino(80).Quando o pacote chega ao Firewall, ele o deencapsulará

e o reescreverá.O pacote que ele enviará para a Rede Pública conterá o endereço da interface do Firewall

que está a ela conectada - ou um outro endereço previamente acertado que seja roteável - como endereço 

de origem, a porta de origem  alocada  de  uma  lista de portas livres no Firewall e o resto do  pacote  será 

uma cópia do pacote original.     

Figura 4: Funcionamento do NAT saindo da rede local

O Firewall também vai adicionar uma entrada em uma tabela de tradução  onde mapeará a requisição  de  

seção, ou seja, ele  relaciona o endereço  interno  que  fez  a  requisição e sua porta com o endereço  e a 

porta a serem utilizadas como tradução. Segue abaixo um modelo dessa tabela:

Figura 5: tabela de tradução de endereços do Firewall

Esta informação é de vital importância para o próximo passo da comunicação entre as máquinas. Quando

o servidor www.cade.com.br responder à requisição, este responderá ao Firewall  e  não  diretamente

à máquina na Rede Interna. O pacote, ao chegar no  Firewall,  será  alterado por  este,  respeitando  a 

tabela de  tradução  acima.  No  exemplo,  o  pacote  chega  ao  Firewall   com  endereço  de  destino 

200.182.30.1 e porta de destino igual a 45000. O Firewall consulta a tabela e verifica que este equivale

ao endereço 10.40.1.10  na porta 1500, fazendo, então, as alterações necessárias.

Figura 6: Funcionamento do NAT recebendo o retorno da rede externa

								< voltar ao índice

Tipos de NAT

É possível se praticar 3 formas de tradução de endereços. São elas:

	NAT Estático

	NAT Dinâmico

	PAT - Port Address Translation

	-  NAT Estático:

Como o próprio nome indica, o NAT estático define um endereço fixo de tradução  de  uma  máquina

da Rede Local para a Rede Pública.

Esse tipo de NAT é muito utilizado quando se quer ocultar o endereçamento interno de uma  máquina

para a Rede Pública e também torná-la visível para a mesma. Veja o exemplo abaixo:

Figura 7:  um exemplo de NAT Estático

A arquitetura acima exposta mostra uma arquitetura básica utilizada por administradores de rede para

publicarem para a rede pública máquinas que deverão ser acessadas por outras redes sem, no entanto,

divulgar seu endereçamento interno.

Verifica-se  que   existem  2  servidores  alocados  na  rede  chamada  DMZ  (Rede não-militarizada).

Essa rede é normalmente configurada para abrigar servidores que apresentam maiores riscos de serem

atacados por usuários externos. A primeira máquina é o servidor Web e a segunda  é  um  servidor  de

mensagens.

Ambas precisam ter endereços declarados na Rede Pública e, por isso, podem ser vistos por qualquer

usuário - por isso a preocupação com a questão de segurança sobre essas máquinas é redobrada. Ao

se colocar as  mesmas  em  uma  rede  separada  da  rede  principal  (Rede Local),  caso  um  usuário

mal-intencionado consiga "atacar"a máquina e ganhar acesso à rede, este terá acesso a uma rede  sem

máquinas que contenham informações de maior importância.

Nessa situação, é feito um NAT  Estático da  máquina  Web  de  10.40.3.3  para  200.182.30.9. Um

usuário do UOL, por exemplo, com o IP 200.192.188.9, para acessar o servidor  Web,  vai  acessar

uma "máquina virtual" que responderá pelo endereço de NAT acima mencionado. O  mesmo  é  feito

para o servidor de Mensagens ( 10.40.3.4 para 200.182.30.10).

						< voltar para Tipos de NAT

	- NAT dinâmico:

Este conceito de tradução, em oposição ao anterior, diz que a tradução só deve ocorrer quando houver 

uma solicitação que demande tradução.  Nesta técnica, trabalha-se  com  uma faixa  de  endereços  que

ficam   à  disposição  do  dispositivo  tradutor  (Firewall  ou  Roteador)  para  realizar  a  conversão  de 

endereços. A cada requisição feita, ele consulta essa faixa e utiliza-se  do  primeiro  endereço  livre  que 

encontar.  Este  modelo é considerado  o mais  flexível, pois permite  uma  série  de  diferentes  soluções

para fazer a conversão. Existem 3 modelos de NAT dinâmico:

		- Conversão 1x1: este modelo de NAT é  pouco  utilizado  pois  não  auxilia  no

controle da utilização de endereços públicos. Ele diz que cada máquina solicitante da rede interna  terá

um  endereço  de  tradução  na   rede   pública.  Apenas   apresenta   a   vantagem   de   "esconder"  o 

endereçamento interno.

Figura 8:  um exemplo de NAT Dinâmico 1x1

		- Conversão N x M ( N > M): este modelo é utilizado quando a quantidade  de

endereços na rede interna é maior que o número de endereços presentes na faixa . É um misto  entre  a 

conversão  1x1  e  o   PAT  (a ser definido em seguida).  O  tradutor,  ao  receber  as  requisições, vai

utilizar  os endereços da faixa como se estivesse  fazendo  uma  conversão  1x1.  Ao  esgotarem-se  os

endereços  , ele começa a fazer Port Address Translation - PAT.

Esse modelo é bastante empregado quando há a  necessidade  de  se  interligar  2  redes  que  estejam

seguindo a  RFC 1918. Segue abaixo, um exemplo da sua utilização:

Figura 9:  um exemplo de NAT Dinâmico N x M

Nesse exemplo, há a interligação de 2 redes locais, via um link de dados: uma no Rio de Janeiro(Matriz)

e outra em São Paulo (Filial). As máquinas da Matriz pretendem acessar as máquinas da filial via  NAT.

Na figura acima, pode-se notar que existem menos endereços na faixa  de endereços do  NAT    (rede

192.168.1.0 com máscara  255.255.255.0)  do  que  na  Rede  Local  Matriz  (rede  10.40.1.0  com

máscara 255.255.248.0). Se todas as máquinas forem fazer as requisições para a rede 192.x.x.x   ao

mesmo tempo, a máquina 10.40.1.254 será a última a conseguir ter associado  o seu  IP  diretamente

a  um  endereço  da faixa.  A  máquina  seguinte,  10.40.2.1,  necessitará  realizar  um  Port Address 

Translation. 

		- Conversão Nx1 ou PAT:  este  modelo , por  ser  bastante  empregado,  será

melhor detalhado no próximo ítem.

						< Voltar para Tipos de NAT

	    -  Port Address Translation:

O  Port  Address  Translation  -  PAT  -  é  o  tipo de NAT  que  mais  economiza endereços válidos

(roteáveis) pois a tradução é feita no modelo N para 1, ou seja, todos os  endereços  da  Rede Local

são traduzidos para um único endereço válido.  Esse tipo de NAT é, na verdade, um caso especial do

NAT dinâmico pois neste caso, assim como no anterior, as traduções são feitas sob demanda, ou seja,

só existe a tradução quando houver uma requisição realizada.

Este modelo  apresenta  uma  limitação  para  o  número  máximo  de  conexões  simultâneas. Como é 

sabido, há uma limitação do número de portas  de comunicação - já  mencionado  anteriormente.  Por 

existir um total de  65535 portas disponíveis para comunicação, só é possível,  em  teoria,  se  traduzir

um número menos que 65000 endereços simultâneos ( não se pode contar com as portas dos serviços

WKS para a tradução).

Essa  limitação  não  chega  a  ser  uma  desvantagem  para  o modelo pois, exceto em casos de redes 

extremamente grandes, 65000 conexões simultâneas é um número bastante aceitável.

Abaixo, segue um exemplo do modelo: 

Figura 10:  um exemplo de Port Address translation

No exemplo, temos usuários alocados  na rede  10.40.1.0/24  -  Rede  Interna -  querendo acessar o

site www.cade.com.br  . O administrador de rede tem aproximadamente 250  usuários  em  sua  rede

local querendo acessar a Internet porém o ISP (Internet Service Provider) só lhe  forneceu  um  range

de endereços 200.182.30.0 /29 - o que le dá  apenas 3  endereços  válidos. Com  essa  escassês  de

endereços, a única solução para garantir acesso simultâneo a todos é o PAT. Nesse  exemplo,  todos

saem com o endereço 200.182.30.1.

Abaixo, segue um  exemplo  da  tabela de  tradução  do  dispositivo tradutor  (Roteador ou Firewall),

baseado em PAT. Considera-se a tabela com 10 conexões simultâneas. 

	Figura 11:  tabela de tradução para PAT com 10 conexões simultâneas

Nota-se que todas as traduções são feitas para um único endereço e  que  as  portas não  podem  ser

repetidas. Foram marcados 2 casos especiais nessa tabela, um indicado com a cor vermelha  e  outro

com a cor azul. O primeiro caso mostra que a máquina  10.40.1.2 está  tentando abrir  mais  de  uma

conexão com a Rede Pública (por exemplo, ele pode estar  acessando  -  no exemplo - 3  endereços

Web distintos). Veja que o dispositivo tradutor (Firewall ou Roteador)  irá  tratar essa  situação  sem

dar importância ao fato das requisições virem da mesma máquina. Para ele, são solicitações de seções

independentes. No segundo caso, ocorre a coincidência  de  2  máquinas  distintas  abrirem  conexões

utilizando a mesma porta de origem. Mais uma vez, o dispositivo tradutor tratará  as  requisições  sem 

maiores problemas, pois, apesar de possuirem a mesma porta de origem, tem IPs de origem distintos. 

								< voltar ao índice

Vantagens: Conectividade bi-direcional transparente entre redes com diferentes endereçamentos Eliminam se gastos associados a mudança de endereços de servidores/rede Economia de endereços roteáveis do IPV4 Facilita o desenho/implementação de Redes Aumenta a proteção das redes locais

1. Conectividade bi-direcional transparente entre redes com diferentes endereçamentos:

Essa característica faz com que seja transparente para os elementos de rede que não estejam diretamente

envolvidos com a tradução a utilização do NAT. Para eles, o pacote IP que  sofreu  NAT  é  um  pacote

como outro qualquer. É importante ressaltar que apenas o elemento tradutor  "sabe" que o endereço  foi

alterado.    

							< volta para Vantagens

2. Eliminam se gastos associados a mudança de endereços de servidores/rede:

Como foi dito no início do trabalho, sem a existência da RFC1918  e  do  NAT, qualquer  máquina  que

quisesse ser visualizada na Rede Pública deveria possuir endereços  válidos.  Nessa  situação,  qualquer

alteração no endereçamento de uma simples máquina implicaria em replicar a mudança em TODAS  as

máquinas roteáveis. Isso demandaria um gasto muito alto com tempo e mão-de-obra necessários  para 

configurar as máquinas.

Imagine-se aqui um exemplo em que um administrador de rede resolver mudar o seu ISP. Na situação

exposta acima, para mudar o seu provedor, o administrador deveria mudar  o  endereço de  todas  as

máquinas de sua rede. Com o NAT, basta fazer a alteração em um único ponto (elemento tradutor)  e 

este será incumbido da responsabilidade de fornecer o IP à máquina solicitante -seguindo a RFC1918-

o IP da nova faixa de IPs fornecida pelo novo provedor. 

							< volta para Vantagens		

3. Economia de endereços roteáveis do IPV4:

Como foi dito acima, há uma melhor gerência do endereçamento IP com o NAT. Custuma-se dizer que

passa a haver uma utilização racional de endereços. Com a redução da faixa de endereços solicitada ao

ISP, há uma redução no custo dos links. 

							< volta para Vantagens

3. Facilita o desenho/implementação de Redes:

Devido ao uso racional de IPs, há uma menor preocupação com a criação dos mapas de endereçamento

de rede, facilitando a implementação/interligação das mesmas.

 							< voltar para Vantagens

4. Aumenta a proteção das redes locais:

O NAT evita que se precise publicar o endereçamento interno das redes locais nas redes públicas. Assim,

fica mais difícil para um usuário mal-intencionado montar qualquer tipo de  ataque  direto  à  Rede  Interna.

Um intruso precisa tentar um ataque direto ao endereço de NAT antes de conseguir atacar  a Rede  Local.

Além dessa vantagem, é possível se implementar  filtros  de  pacote  nos  2  elementos  que  possibilitam  a

tradução. No próximo ítem, será dado um exemplo do uso do Firewall como tradutor e filtro de pacotes.  

< voltar ao índice

Desvantagens:

Impossibilidade de se rastrear o caminho do pacote

Aumento do processamento no dispositivo tradutor

1. Impossibilidade de se rastrear o caminho do pacote

Com a utilização da tradução, fica impossível se utilizar o comando traceroute <endereço de destino>

para se identificar o caminho que o pacote segue até encontrar o seu destino, pois o elemento  tradutor 

não permite  a  tradução  reversa (resposta  da  rede  externa  para a  local)  com   resposta  indicando 

"esgotado tempo limite" - TTL (Time to Live).

O  traceroute é um comando muito utilizado para se verificar conectividade entre 2 pontos. Caso não

se consiga conectividade entre 2 pontos, é possível, com esse comando, se identificar onde  o  pacote

está "parando" por falta de rotas ou problemas de interligação.

							< voltar às Desvantagens

2.  Aumento do processamento no dispositivo tradutor

Como foi dito acima, o NAT requer que a máquina  que  fará a  tradução  altere  o  pacote  IP.  Essa

manobra  exige  que  a  máquina   deixe   dedicado  para   essa   tarefa   parte  do  seu   potencial  de 

processamento. Por essa razão, há que se ter cuidado na escolha do tradutor. Deve-se  atentar  para

a demanda extra de processamento.

Nesse sentido, os fabricantes de equipamentos utilizam-se de  2  linhas  de  produtos  para  realizar  a  

tradução. São elas:

	- tradução via software: existe uma  aplicação  que  funciona  em  um

servidor que faz o papel de tradutor. A  tradução, nesse  caso  é  feita  via

software.

	- tradução via  hardware:  nesse  caso,  é  desenvolvido  um  hardware 

específico para desempenhar aquela função. O sistema é desenvolvido de forma a 

otimizar a performance do equipamento ao desempenhar a tradução.

A escolha da linha de produtos que irá atender a uma certa demanda depende da necesside, ou seja,  a

escolha certa do produto varia de caso a caso. A utilização da tradução via hardware permite uma maior

velocidade na tradução e, muitas vezes, um gasto menor na implantação; porém existem limitações com

relação à flexibilidade do equipamento. Já com a tradução via software, ocorre o contrário. A tradução

é feita com maior lentidão,  os  recursos  utilizados  não  são  otimizados,  porém  permite  uma  grande

flexibilidade no seu uso diário. Por funcionar "sobre" um sistema operacional, é possível se  utilizar  este

último para incorporar novas funcionalidades à aplicação, por exemplo.    

							< voltar ao índice

Utilização do NAT em conjunto com listas de acesso:

Como foi dito inicialmente, há uma grande preocupação com a proteção das redes locais. Essa preocupação 

é justificada pelo fato de nessas redes estarem localizados, por muitas vezes, servidores que  contém  dados

de elevada importância (pesquisas científicas, dados de clientes, etc) e servidores que estejam em produção. 

Caso essas máquinas  sejam  invadidas  por  usuários  mal-intencionados  e  os  dados  das  mesmas  forem 

corrompidos, muitos interesses serão seriamente afetados.

Sabe-se que o NAT tem a vantagem de ocultar o endereçamento interno das redes e que, para ganhar acesso

a uma máquina, um usuárioexterno terá que fazer um ataque direto a 2 endereço - primeiro o de tradução  e

depois o real. Porém, a simples utilização do NAT não garante a segurança da rede. Os ataques podem ser 

efetuados em qualquer uma das 65535 portas existentes em um computador. 

Veja um exemplo em que a utilização do NAT não protege a rede: imagine que um usuário A da rede interna

resolva acessar a Internet. Ele inicia um telnet na rede pública. Após alguns minuto, ele termina o comando e

fecha a janela de comunicação. Até esse ponto, tudo parece estar bastante  normal,  porém,  o  que  não  se

percebe facilmente é que o dispositivo tradutor terá, por um pequeno porém significativo período de tempo

a conexão do usuário A armazenada em suas tabelas de tradução. É nesse curto intervalo de tempo que um

usuário mal-intencionado pode se aproveitar e tentar acessar a rede interna. Caso  ele envie um  pacote IP 

na porta onde o usuário A teria a resposta da sua conexão de Telnet, este será aceito. Dessa forma, usuários

da rede pública podem enviar pacotes IP para a rede interna contendo dados que possam danificar algum

componente na rede ( derrubar um servidor, etc). É nesse contexto que atuam os filtros de pacotes. 

Por uma questão de conveniência, os 2 elementos mencionados neste trabalho como tradutores de endereço

(firewall e roteador) realizam o papel de filtro de pacotes. Eles só permitem que passem por eles pacotes que

contenham caracter'siticas que estejam descritas no filtro ( por exemplo, só se aceitam conexões na porta 80

para o servidor B ou só se aceitam conexões provenientes de um endereço específico da rede pública, etc).

Segue agora um exemplo prático. É muito comum a presença de servidores web. Este serviço, como foi dito,

está enquadrado nas WKS - porta 80.Assim sendo, nenhuma outra porta deve estar liberada para o acesso,

ou seja, qualquer tentativa de conexão em outra porta que não esta pode ser considerada como tentativa de 

invasão.

Figura 12: um usuário  acessa a porta 80 do Servidor Web com autorização do Firewall 

No exemplo acima um úsuário com IP público tenta acessar o servidor Web na porta 80. Para acessá-

lo, primeiro ele faz uma requisição para o endereço virtual (200.182.30.9). Este manda  a  informação

para o Firewall e este verificará se tem alguma regra que permita pacotes para o servidor web na porta 

80. No exemplo, o firewall terá essa regra e permitirá a  passagem do  pacote  por  ele.  O   resto   do 

processo funciona como um NAT normal.

No próximo exemplo, o mesmo usuário vai tentar acessar a porta 1433 no mesmo servidor.

Figura 13:  o Firewall rejeita a tentativa de conexão na porta 1433

O funcionamento é o mesmo mostrado anteriormente, sendo que o Firewall, ao verificar que não existem

regras que permitam o acesso ao servidor Web na porta 1433 irá descartar o pacote que chegou a ele,

não permitindo a conexão.

							< voltar ao índice

Conclusões:

Conclui-se que  a  utilização  da  tradução  de  endereços  -  NAT  -  permite  que  se  utilize  o  espaço de 

endereçamento fornecido  pelo  IPV4 de  uma  forma  mais   inteligente  e  racional,  em  conjunto  com  as 

especificações propostas na RFC1918.

Além da questão pura do endereçamento, ele permite que se aumente a segurança das redes locais contra

possíveis investidas de usuários externos com o  objetivo  de  comprometer  a  estrutura de dados  que  é

mantida localmente. Este aumento da segurança é  obtido  graças  ao  fato  de  usuários  externos  ficarem

impossibilitados de conhecer o endereçamento local.

Por essas e outras razões, acredita-se que o NAT venha a ser cada vez mais utilizado pelos administradores

de rede em todo o mundo

Fontes de Consulta:

Bibliografia:

1) Commer, Douglas E.

	Internetworking with TCP/IP - volume I

	Prentice Hall - 1995

	ISBN 0-13-216987-8 (V.1)

2) Soares, Luiz Fernando G. (Luiz Fernando Gomes)

	Redes de Computadores: das LANs, MANs e WANs às Redes ATM

	Campus - 1995

	ISBN 85-7001-954-8

Páginas Web

http://www.kentrox.com/support/KB/Common/Public/GENL475.htm

http://alumni.caltech.edu/~dank/peer-nat.html

http://www.dalantech.com/nat.shtml

http://www.bsdtoday.com/2001/May/Features478.html

http://www.networkmagazine.com/article/printableArticle?doc_id=PIT20000629S0020

http://www.technet.com

http://www.cisco.com.br

http://www.checkpoint.com

							< voltar ao índice

Perguntas:

1) Cite 2 vantagens de se utilizar o NAT?

R: Pode-se citar como a primeira vantagem o fato de permitir a utilização de endereços roteáveis

na rede pública de forma racional. Uma segunda  vantagem  seria  a  possibilidade  de  ocultar  o

endereçamento das redes locais, dificultando o acesso de usuários mal-intencionados à rede local. 

2) Quais as 3 formas de se realizar um NAT?

R: Existem 3 formas de se realizar um NAT:

	- NAT Estático

	- NAT Dinâmico

	- PAT - Port Address Translation

3)Como funciona o PAT (Port Address Translation)?

R: Quando a solicitação de uma máquina da rede interna chega ao elemento tradutor, este altera

o cabeçalho do pacote retirando do campo entitulado "endereço de origem" o endereço  da  rede 

local e colocando um endereço da rede pública. A tradução de todas as requisições  é  feita  para

um único endereço. Por essa razão, há a necessidade de se ter um outro elemento  que   isole   as

diferentes solicitações. Isto é feito  se  mudando  o  endereço  da  porta  de  origem.  O  elemento

tradutor armazena essas mudanças em uma área chamada TABELA DE TRADUÇÃO. Esta será

consultada para se fazer o NAT reverso ( da rede externa para a interna).

4) Cite 1 desvantagem de se realizar NAT?

R: a utilização do NAT impossibilita a utilização do comando traceroute que permite se verificar

o caminho que um pacote percorre desde a origem até o seu destino. 

5) Em qual situação se enquadra a utilização de um NAT Estático?

R: o NAT  Estático  é  utilizado quando se deseja declarar  um  servidor  da  rede  local  na  rede

pública. Exemplos de máquinas que comumente sofrem NAT estático na maioria  das  redes  são

os servidores de Mensagens (Mail)  e os servidores Web (porta 80). O usuário externo não acessa

diretamente a máquina, e sim um endereço virtual.

							< voltar ao índice