NAT & PAT
IP & Adressierung (3)
Warum NAT?
Es gibt zu wenige öffentliche IPv4-Adressen, als dass jedes Gerät eine eigene bekommen könnte. NAT (Network Address Translation) löst das: Der Router übersetzt die privaten Adressen deines Heimnetzes in eine öffentliche Adresse, sobald die Pakete ins Internet gehen – und zurück.
Grundprinzip
Heimnetz (privat) Internet (öffentlich) 192.168.1.50 --\ 192.168.1.51 ---> ROUTER (NAT) --> 84.123.45.6 192.168.1.52 --/ tauscht private gegen öffentliche IP
Nach außen sieht es so aus, als käme der gesamte Verkehr von der einen öffentlichen Adresse. Die internen Adressen bleiben verborgen.
PAT – viele Geräte, eine IP
Damit der Router die Antworten wieder dem richtigen internen Gerät zuordnen kann, nutzt er zusätzlich die Portnummern. Diese Variante heißt PAT (Port Address Translation, auch „NAT Overload“ oder Masquerading). Der Router führt dazu eine Übersetzungstabelle:
| Intern (IP:Port) | Öffentlich (IP:Port) | Ziel |
|---|---|---|
| 192.168.1.50:51000 | 84.123.45.6:40001 | 93.184.216.34:443 |
| 192.168.1.51:49500 | 84.123.45.6:40002 | 93.184.216.34:443 |
| 192.168.1.52:52010 | 84.123.45.6:40003 | 142.250.100.5:80 |
Kommt eine Antwort an 84.123.45.6:40002 zurück, schlägt der Router in der Tabelle nach und leitet sie an 192.168.1.51:49500 weiter. So teilen sich beliebig viele Geräte eine einzige öffentliche Adresse.
NAT-Varianten
- Static NAT: feste 1:1-Zuordnung einer privaten zu einer öffentlichen Adresse (z. B. für einen Server).
- Dynamic NAT: privaten Adressen wird aus einem Pool eine freie öffentliche zugewiesen.
- PAT / Overload: viele private Adressen teilen sich über Ports eine öffentliche – der Standard im Heimnetz.
- Port-Forwarding: gezielte Weiterleitung eines öffentlichen Ports auf einen internen Host, damit Dienste von außen erreichbar werden.
Vor- und Nachteile
| Vorteile | Nachteile |
|---|---|
| Spart öffentliche Adressen | Bricht das Ende-zu-Ende-Prinzip |
| Versteckt interne Topologie | Eingehende Verbindungen schwierig (Port-Forwarding nötig) |
| Einfacher Provider-Wechsel intern | Probleme bei VoIP, P2P, manchen VPNs |
CGNAT in Kürze
Bei CGNAT (Carrier-Grade NAT) setzt der Provider eine zweite NAT-Stufe ein: Viele Kunden teilen sich eine öffentliche Adresse. Du erkennst es daran, dass deine WAN-Adresse selbst aus einem privaten/geteilten Bereich stammt (oft 100.64.0.0/10). Folge: Port-Forwarding und das Betreiben eigener Server von zu Hause funktionieren dann oft nicht mehr.
Sicherheitsbezug
NAT wirkt wie eine grobe „Eingangssperre“, weil unaufgeforderte eingehende Verbindungen mangels Tabelleneintrag verworfen werden. Das ist aber keine Firewall und kein echter Schutz – es filtert keine erlaubten Verbindungen und schützt nicht vor Schadcode, der von innen eine Verbindung aufbaut. Setze NAT also nie als Sicherheitsersatz ein, sondern kombiniere es mit einer echten Firewall. In IPv6 entfällt NAT meist vollständig – umso wichtiger sind dort saubere Firewallregeln.
Wodurch ordnet PAT Rückantworten dem richtigen internen Gerät zu?
Tools
Zum Prüfen privater und öffentlicher Bereiche hilft der Subnetz-Rechner. Mehr zur Paketweiterleitung findest du in der Lektion Routing-Grundlagen.