Hur fungerar NAT (nätverksadressöversättning)?
NAT, nätverksadressöversättning, är en teknik där en router skriver om IP-adresser i paket så att många interna enheter kan dela en enda publik adress. Tekniken sparar IPv4-adresser och blockerar samtidigt oombedd inkommande trafik.
NAT, nätverksadressöversättning, är tricket som låter ett helt hushåll eller kontor dela på en enda publik IP-adress. Din router får en adress från internetleverantören, medan varje enhet i hemmet får en egen intern adress. När du surfar skriver routern om paketen i farten, så att internet ser dem som om de kom från routern. Utan NAT skulle IPv4-adresserna ha tagit slut redan på 1990-talet.
Interna adresser hämtas från särskilt reserverade IPv4-intervall: 10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16. Dessa är inte giltiga på det öppna internet, så trafik till dem stannar inom hemnätet. När en enhet skickar ett paket utåt byter routern ut avsändaradressen mot sin egen publika och noterar kopplingen i en översättningstabell. När svaret kommer tillbaka slår routern upp tabellen och skickar paketet till rätt intern enhet.
| Intervall | Antal adresser | Vanligast i |
|---|---|---|
| 10.0.0.0/8 | 16,7 miljoner | Företag |
| 172.16.0.0/12 | 1 miljon | Medelstora nät |
| 192.168.0.0/16 | 65 000 | Hemmarouter |
För att klara flera samtidiga anslutningar används portar som extra nyckel. Routern ändrar både IP-adress och källport, vilket kallas PAT eller masquerading. Varje aktiv anslutning får en unik kombination av port och adress, och tabellen kan hantera tusentals parallella kopplingar. Metoden fungerar utmärkt för utgående trafik, men inkommande förbindelser blockeras som standard. Det är anledningen till att port forwarding behövs för spelservrar och fjärråtkomst hemifrån.
NAT har också nackdelar. Vissa protokoll, som SIP för IP-telefoni och peer-to-peer-anslutningar, fungerar dåligt eftersom de förutsätter direkt adresserbarhet mellan parterna. IPv6 är tänkt att lösa problemet genom att ge varje enhet en egen global adress, men övergången har dragit ut på tiden. Under tiden är NAT kvar som en praktisk lösning som dessutom fungerar som en enkel brandvägg genom att blockera oombedd inkommande trafik.
Steg för steg
Enheten skickar ett paket
Din dator skickar ett paket mot internet med sin privata adress som avsändare, exempelvis 192.168.1.42.
Routern skriver om avsändaren
Routern byter ut den privata adressen mot sin publika och sparar en rad i översättningstabellen med datorns adress och port.
Paketet skickas ut på internet
Mottagaren ser bara routerns publika adress och svarar till den, utan att veta att paketet kom från en intern enhet.
Svaret översätts tillbaka
När svaret kommer in slår routern upp källporten i tabellen och skriver om mottagaradressen till den privata, så att rätt dator får paketet.
Vanliga frågor
- Vad är skillnaden mellan NAT och brandvägg?
- En brandvägg filtrerar trafik utifrån regler, medan NAT översätter adresser. NAT blockerar oombedd inkommande trafik som bieffekt, men är inte en fullvärdig brandvägg.
- Behöver man NAT med IPv6?
- Normalt inte. IPv6 har så många adresser att varje enhet kan få en egen publik adress. En vanlig brandvägg räcker för samma skyddsnivå som NAT ger i IPv4-nät.
- Varför fungerar inte alla tjänster bakom NAT?
- Protokoll som förutsätter att båda parter kan initiera anslutningar, som SIP och vissa peer-to-peer-program, får problem eftersom NAT gömmer de interna adresserna. Tekniker som STUN och hole punching används för att kringgå detta.
- Vilka IP-intervall är privata?
- 10.0.0.0 till 10.255.255.255, 172.16.0.0 till 172.31.255.255 och 192.168.0.0 till 192.168.255.255. Dessa används bara internt och dirigeras inte på öppna internet.