Escola Tcnica Estadual Aderico Alves de Vasconcelos Curso Tcnico em Redes de Computadores

Ellyn Rocha Fagner Lima Iracktan Andrade Magdala Buarque Saulo Tavares

NAT Network Address Translation (RFC 1631)

Goiana 29 de Outubro de 2012

Ellyn Rocha Fagner Lima Iracktan Andrade Magdala Buarque Saulo Tavares

NAT Network Address Translation (RFC 1631)

Trabalho apresentado ao Curso Tcnico em Redes de Computadores, da Escola Tcnica Estadual Aderico Alves de

Vasconcelos, como requisito final para obteno da nota da disciplina

Administrao e Sistema Operacional 1 Windows Server. Orientada pelo professor Rosberg Rodrigues.

Goiana 29 de Outubro de 2012

Resumo Este trabalho tem por objetivo expor o que , para que serve, como instalar, e por fim, como configurar o Network Address Translation(NAT) no Windows Server 2003. O tema relevante, pois o NAT, uma das alternativas de resoluo da escassez de endereos IP, acarretada pela limitao de endereos no padro IPv4, por funcionar como um tradutor de endereos de rede que visa minimizar a escassez dos endereos IP, j falada anteriormente. Este documento mostrar como o tradutor NAT funciona, abordando o tema de forma clara e objetiva, ligando os tpicos de forma lgica, gerando portanto uma leitura leve e dinmica.

Palavras-chave: NAT, Network Address Translation, IPv4, IPv6, masquerating

Abstract This work aims to expose what it is, what it does, how to install, and finally, how to configure Network Address Translation (NAT) in Windows Server 2003. The topic is relevant because the NAT is an alternative to the resolution of IP address shortage, brought about by the limitation of IPv4 addresses in default, by functioning as a network address translator that aims to minimize the scarcity of IP addresses already spoken above. This paper will show how the translator works NAT, addressing the subject in a clear and objective, linking the topics in a logical, therefore generating a reading light and dynamic.

Keywords: NAT, Network Address Translation, IPv4, IPv6, masquerating

Sumrio Introduo ...................................................................................................................6 NAT Network AddressTranslation.............................................................................Erro! Indicador no definido.

O que NAT? .............................................................................................................7 Entendendo melhor o NAT................................................................................Erro! Indicador no definido. Tipos de NAT....................................................................................................9 NAT Esttico......................................................................................................1 NAT Dinmico.................................................... Erro! Indicador no definido. Overloading e Overlapping..............................................................................11 NAPT - (Network Address Port Translation) ...................................................11 Twice NAT (2x NAT) .......................................... Erro! Indicador no definido. Bi-Directional NAT (ou two-way)...................... Erro! Indicador no definido.3 NAT-PT - O NAT-PT (Network Address Translation - Protocol Translation) ................................................................................... Erro! Indicador no definido.3 Tabela de Traduo NAT

................................................................................Erro! Indicador no definido.4 Como configurar o NAT ................................... Erro! Indicador no definido.5 Consideraes Finais......................................................................................17 Referncias Bibliogrficas..........................................................................................18

Lista de Ilustraes

1:Basic NAT(Esttico)................................................................................................10 2: NAT Dinmico........................................................................................................10 3: NAPT(Network .Address Port Translation).............................................................11 4: Twice NAT..............................................................................................................11 5: Twice NAT por porta...............................................................................................11 6: Bi-Directional NAT (ou two-way)............................................................................12 7: NAT-PT - O NAT-PT (Network Address Translation - Protocol Translation)..........13

Introduo A Internet um conglomerado de redes, que permite o acesso a informaes e transferncia de dados. Esta permuta de dados possvel graas aos protocolos TCP/IP. Tal atividade baseia-se na identificao de cada computador, atravs de seu endereo IP, assim, sendo possvel encaminhar dados de acordo com a associao de endereos realizada pelos protocolos. Quando o endereamento IP surgiu, todos pensavam que havia endereos suficientes para cobrir qualquer demanda. Teoricamente, poderiam existir 4.294.967.296 endereos exclusivos (232), sendo o nmero real de endereos disponveis menor. Com a evoluo e acesso massivo a dispositivos de acesso a rede, foi-se gerado o problema de sobrecarga de IPs, de forma que o modelo mundial de redes de computadores, teve de se adaptar a um novo modelo do protocolo j existente: o IPV4. Este teve como inteno resolver as questes do crescimento de milhares de novos computadores conectados em rede, mas no foi suficiente. A soluo, ento foi remodelar o mesmo protocolo, permitir que mais endereos sejam criados, evoluindo ento o anterior IPv4, para IPv6(lembrando que o IPv4 suporta cerca de 4 bilhes de endereos diferentes, em contra partida o IPv6, 3,4x1038 endereos, por ter 128 bits para identificao de dispositivos), e a que entra o NAT (RFC 1631 - em ingls). Este protocolo foi criado para tentar resolver o problema de limitao de IPs, trabalhando de forma que permita que um nico dispositivo, funcione como um agente entre a rede pblica e uma rede privada, sendo apenas necessrio, um endereo IP exclusivo, para representar uma rede de computadores. Vale salientar que o NAT no tem somente esta funo, mas isto veremos mais adiante, no projeto a seguir.

Network Address Translation. um recurso que permite converter endereos da rede

interna em endereos da Internet. O uso mais comum deste recurso compartilhar a conexo com a Internet. (MORIMOTO, Carlos E.).

NAT Network Address Translation

O que o NAT?

NAT- Network Address Translation, uma tcnica de reescrever endereos IP nos cabealhos (headers) e dados das aplicaes, em conformidade com uma poltica definida previamente, baseada no endereo IP de origem e/ou destino dos pacotes que trafegam pelos equipamentos, que implementa o NAT. Com o grande aumento dirio de computadores acessando a internet, chegou-se concluso de que no haveria endereos IPv4 suficientes. O protocolo de rede atual da Internet, o IPv4 (Internet Protocol verso 4) disponibiliza um endereamento com 32 bits o que permite a utilizao de no mximo 4.294.967.296 hosts, onde cada computador que acessa a Internet, deve ter o protocolo TCP/IP configurado. A soluo em longo prazo foi a migrao para o IPv6, que tem endereos de 128 bits. Esta transio est ocorrendo com lentido e a concluso do processo ir demorar muitos anos. A criao do NAT veio para solucionar esta questo, ou pelo menos tentar fornecer uma alternativa at que o IPv6 esteja em uso pleno, logo podemos afirmar que o NAT foi criado, com o objetivo de suportar o crescimento das redes de computadores na Internet. A ideia bsica por trs do NAT atribuir a cada empresa um nico endereo IP (ou, no mximo, um nmero pequeno deles) para trfego na Internet. Dentro da rede, todo computador obtm um endereo IP exclusivo, utilizado para roteamento do trfego interno. Porm, quando um pacote sai da rede especfica e vai para o ISP (Internet Service Provider), ocorre uma converso de endereo. Neste contexto, o NAT buscou oferecer um mtodo de criao de redes privativas, com endereos no roteveis, que poderiam passar por um sistema que faria a traduo para um endereo vlido e rotevel, capaz de ser reconhecido em toda a Internet, ou seja, o Network Address Translation, tambm conhecido como masquerading uma tcnica que consiste em reescrever os endereos IP de origem de um pacote que passam por um router ou firewall de maneira que um computador de uma rede interna, tenha acesso ao exterior ou Rede Mundial de Computadores. O servidor NAT pode tambm executar consultas de sistema de nomes de domnio (DNS, Domain Name System) em nome de clientes NAT. O servidor NAT de

encaminhamento e acesso remoto resolve o nome do anfitrio da Internet includo no pedido do cliente e, em seguida, reenvia o endereo IP ao cliente.

Entendendo melhor o NAT

O NAT um mecanismo que visa economizar endereos IP pblicos e simplificar as tarefas de gerenciamento do endereo IP. Quando um pacote roteado atravs de um dispositivo de rede(geralmente um firewall ou roteador) o IP interno(privado), traduzido para um endereo IP externo(pblico). Isso permite que o pacote seja transportado por redes pblicas, como a Internet. Em seguida, o endereo IP externo de resposta traduzido novamente para o endereo IP interno que originou o pacote, para ser entregue dentro da rede interna. Falando um pouco sobre os IPs, temos as seguintes classificaes: O endereo local Interno o endereo de IP, atribudo a um host da rede interna, sendo este definido pelo administrador da rede local e provavelmente um dos endereos privados especificados na RFC1918(Documento que padroniza a atribuio de endereos privados para internet, bem como determina que certos endereos no sejam utilizados na Internet.) O endereo global interno o IP atribudo pelo provedor de servio, este o endereo que pode representar um ou mais IPs locais internos para a rede mundial. O endereo local externo, que o endereo IP de um host externo, tal como conhecido pelos hosts da rede interna. E o endereo global externo, que o IP atribudo a um host da rede externa(O proprietrio do host atribui esse endereo).

Os endereos privados no podem ser utilizados diretamente na Internet, isso permite que vrias empresas utilizem a mesma faixa de endereos privados, como esquema de endereamento da sua rede interna. Ou seja, qualquer empresa pode utilizar endereos que estejam nas faixas anteriormente indicadas e com o uso do NAT, a empresa fornece acesso Internet para um grande nmero de computadores da rede interna, usando um nmero bem menor de endereos IP, vlidos na Internet.

A tecnologia de NAT necessita que uma empresa, por exemplo, possua uma nica conexo com a Internet global e pelo menos um endereo global de IP vlido. O endereo global de IP vlido designado para um computador que conecta a empresa Internet e executa o software de NAT, informalmente chamado de caixa NAT. Todos os datagramas passam atravs da caixa NAT quando viajam da empresa para a Internet ou da Internet para a empresa. O NAT traduz os endereos tanto nos datagramas de sada quanto de entrada, substituindo o endereo de origem em cada datagrama de sada, com o endereo global de IP vlido e substituindo o endereo destino em cada datagrama, com o endereo privado do host correto. Logo, do ponto de vista de um host externo, todos os datagramas vm da caixa NAT e todas as respostas voltam caixa NAT. Do ponto de vista dos hosts internos, a caixa NAT (que pode ser um roteador) um dispositivo que pode alcanar a Internet global. A grande vantagem do NAT vem de sua combinao de generalidade e transparncia. O NAT mais genrico que os gateways de aplicao, porque permite que hosts internos acessem um servio arbitrrio na Internet. O NAT transparente porque permite que um host interno envie e receba datagramas utilizando um endereo IP privado, ou seja: NAT uma tecnologia que fornece acesso transparente em nvel de IP Internet a partir de um host com endereo privado. O NAT sabe qual host interno deve receber o datagrama que chega da Internet, atravs de uma tabela de traduo que utilizada para se realizar este mapeamento. Cada entrada na tabela especifica dois itens: o endereo IP do host na Internet e o endereo IP do host na rede privada. Quando um datagrama de entrada chega da Internet, a NAT verifica o endereo de destino do datagrama na tabela de traduo, extrai o endereo correspondente ao host interno, substitui o endereo de destino do datagrama com o endereo do host e encaminha o datagrama atravs da rede interna ao host. Com freqncia, a caixa NAT combinada em um nico dispositivo com um firewall, que oferece segurana por meio do controle cuidadoso do que entra na sai da rede.

Tipos de NAT

NAT ESTTICO

10

O princpio do NAT esttico consiste em associar um

Figura 1 - Basic NAT

endereo IP pblico, a um endereo IP

privado interno rede. O switch a permite um

associar

endereo IP privado, um endereo IP pblico, rotvel na Internet e fazer a traduo, tanto num sentido como no outro, alterando o endereo no pacote IP. A traduo de endereo esttica permite assim ligar mquinas da rede interna Internet de maneira transparente mas no resolve o problema da escassez de endereos, na medida em que n endereos IP rotveis so necessrio para ligar n mquinas da rede interna.

NAT DINAMICO Uma rede interna configurada com endereos IP que no foram

especificamente alocados pela IANA (Internet Assigned Numbers Authority), estes endereos devem ser considerados no roteveis, j que no so

nicos. Determinada empresa compra e configura um roteador compatvel com o NAT, que tem uma faixa de endereos IP exclusivos fornecidos empresa pela IANA. Quando um computador da rede interna tenta se

conectar a um computador da rede externa, um como, servidor por de

exemplo,

Internet, o roteador recebe o pacote do computador da rede interna, salva o endereo IP no rotevel do computador em uma tabela de traduo de endereos. O roteador Figura 2 - NAT dinmico

11

substitui o endereo IP no rotevel do computador de origem pelo primeiro endereo IP disponvel na faixa de endereos IP exclusivos. A tabela de traduo agora tem um mapeamento do endereo IP no rotevel do computador, correspondente a um dos endereos IP exclusivos. Quando um pacote volta do computador de destino, o roteador confere o endereo de destino no pacote. Ele ento busca na tabela de traduo de endereos o computador da rede interna ao qual o pacote pertence. Ele muda o endereo de destino para um dos endereos salvos na tabela de traduo e envia o pacote para aquele computador. Se ele no encontrar um correspondente na tabela, descartar o pacote, o computador recebe o pacote do roteador. O processo se repete enquanto o computador estiver se comunicando com o sistema externo.

Overloading (sobrecarga) -Tipo de NAT dinmico, que mapeia mltiplos endereos IP privativos para um nico endereo IP pblico, usando portas diferentes. Tambm conhecido como PAT (traduo de endereo de porta, do ingls Port Address Translation), NAT de endereo nico, ou NAT multiplexado por portas. Overlapping (sobreposio) - Quando os endereos IP usados na sua rede interna so endereos IP usados em outra rede, o roteador deve manter uma tabela destes endereos para que consiga intercept-los e troc-los por endereos IP pblicos nicos. Vale salientar que o roteador NAT deve traduzir os endereos "privativos" para endereos pblicos, assim como traduzir os endereos "pblicos" para endereos que sejam nicos dentro da rede. Isto pode ser feito atravs do NAT esttico ou usando DNS com NAT dinmico. Figura 3 - NAPT

NAPT/ Masquerating- O NAPT (Network Translation) mapeamento utilizando nmeros de Address realiza Port o

portas (como o TCP / UDP ou ICMP query ID) de origem dos

12

endereos locais internos, para distinguir cada uma das tradues. A quantidade de portas que podem receber um nico endereo IP fica em torno de 4.000, o NAPT tenta preservar a porta de origem, se essa porta de origem j estiver em uso, o NAPT atribui o primeiro nmero de porta disponvel a partir do incio do grupo de portas apropriadas, quando no h mais portas disponveis e h mais de um endereo global interno configurado, o NAPT passa para o prximo endereo IP, para tentar alocar novamente a porta de origem, esse processo continua at que no haja mais portas disponveis nem endereos globais internos. O NAPT permite que vrios endereos locais internos sejam traduzidos usando um nico endereo global interno, permitindo assim que se tenham diversos dispositivos em uma rede interna utilizando um nico global interno. Figura 4 Twice NAT por IP Twice NAT (2x

NAT) - Este tipo de NAT permite que voc decida qual endereo IP

global interno ser utilizado no

processo de traduo, baseado no endereo IP de destino ou pelo nmero da porta de destino do pacote.

Figura 5 Twice NAT por porta

13

Bi-Directional NAT (ou two-way) - Com o NAT bidirecional as sesses podem ser iniciadas a partir de hosts na rede pblica. Esta caracterstica foi incorporada no NAT Bsico para adicionar capacidades mais avanas. Quando o NAT somente de sada, as transaes se tornam mais difceis, hosts da rede interna (endereo local interno) geralmente sabem os endereos IPs de hosts da rede externa (endereo global externo), porque estes so pblicos. Entretanto, os hosts das redes externas no sabem o endereo IP de hosts da rede interna, ento se um host estiver na rede externa, ele no vai poder especificar um endereo IP de um servidor ou Figura 6 - Bi-Directional NAT

dispositivo que esteja em uma rede interna para enviar um pacote. O endereo IP do host interno no

rotevel em redes pblicas. Como exemplos de NAT bidirecional podemos citar os tneis IPv6 e a utilizao de servios DNS (Domain Name System) em redes internas. Em tneis IPv6 (ser abordado em outra sesso deste site), o mesmos podero ser estabelecidos mesmo quando no houver trfego interno sendo gerado para a extremidade do tnel. Para os servios de DNS, os servidores em redes internas podem responder requisies para hosts na rede pblica. Quando um host externo tenta resolver o nome de um host onde o servidor de DNS est dentro de uma rede interna, o roteador NAT intercepta a solicitao de DNS e instala uma traduo de endereos para permitir que o host externo possa alcanar o servidor de DNS utilizando um endereo IP global interno (pblico). O mapeamento dinmico citado acima, depende a utilizao de DNS-ALG (Application Level Gateway) que ser abordado em outra sesso deste site.

14

NAT-PT - O NAT-PT (Network Address Translation - Protocol Translation) uma tcnica de traduo de endereos entre redes IPv6 e IPv4, onde pacotes IPv6 so traduzidos em pacotes IPv4 e vice-versa. Este mtodo pode ser utilizado quando equipamentos legados permitirem upgrade utilizao no o para de Figura 7 - NAT-PT

endereos IPv6. Este tcnica de traduo nada mais do que uma extenso das tcnicas de NAT j citadas acima.

Tabela de Traduo NAT

Traduo do Endereo de Rede uma forma de mapear toda uma rede (ou redes) para apenas um endereo IP. A tabela NAT deve estar estabelecida antes que um datagrama chegue da Internet, caso contrrio, o NAT no possuir meios de identificar o endereo interno do host para o qual o datagrama deveria ser encaminhado. Existem trs possibilidades de inicializao desta tabela: Inicializao manual: Um administrador configura a tabela de traduo manualmente antes que qualquer comunicao ocorra. Datagramas de sada: A tabela construda como um efeito colateral do envio de datagramas. Quando o NAT recebe um datagrama de um host interno, esta cria uma entrada na tabela de traduo de forma a gravar o host e o endereo de destino. Requisies externas de nomes de domnio: A tabela construda como um efeito colateral da manipulao de requisies de nomes de domnio. Quando um host na Internet realiza uma requisio do nome de domnio de um host interno para descobrir o seu endereo IP, o software de nomes de domnio cria uma entrada na tabela de traduo NAT, e ento responde requisio enviando o endereo global de IP vlido.

15

Portanto, para a Internet, aparenta-se que todos os nomes de domnio da empresa so mapeados para o endereo global de IP vlido. Cada tcnica de inicializao possui suas vantagens e desvantagens. A inicializao manual fornece mapeamentos permanentes e permite que datagramas IP sejam enviados em ambas as direes em qualquer momento. Utilizar os datagramas de sada para inicializar a tabela possui a vantagem de ser automtico, mas no permite que a comunicao seja iniciada do lado de fora da caixa NAT. Utilizar as requisies de nomes de domnio exige modificaes no software de nomes de domnio. Esta abordagem acomoda a comunicao iniciada pelo lado de fora, mas funciona somente se o emissor realizar uma requisio de nome de domnio antes de enviar os datagramas. A maioria das implementaes de NAT utiliza os datagramas de sada para nicializar a tabela.

Como configurar o NAT, baseado em Windows Server 2003

Segundo support.microsoft, para configurar o servidor NAT de encaminhamento e acesso remoto, para que ele possa atribuir endereos IP e executar consultas de DNS proxy, em nome de clientes da rede interna, deve-se seguir os seguintes passos: siga estes passos: 1. Clique com o boto direito do mouse em NAT/Firewall bsico (NAT/Basic Firewall) no painel esquerdo e em seguida, clique em

propriedades(Properties). 2. Clique no separador Atribuio de endereos (Address Assignment) e em seguida, clique para selecionar a caixa de verificao Atribuir endereos IP automaticamente utilizando o atribuidor DHCP (Automatically assign IP addresses by using the DHCP allocator). 3. Na caixa Endereo IP (IP address), escreva um ID de rede. 4. Na caixa Mscara (Mask), escreva uma mscara de sub-rede. 5. Clique no separador Resoluo de nomes (Name Resolution) e, em seguida, clique para selecionar a caixa de verificao Clientes que utilizem DNS [Clients using Domain Name System (DNS)].

16

6. Caso utilize uma interface de marcao a pedido para ligar Internet, clique para selecionar a caixa de verificao Ligar rede pblica, quando um nome precisar de ser resolvido (Connect to the public network when a name needs to be resolved). 7. Na caixa Interface de marcao a pedido (Demand-dial interface), clique na interface para marcar. 8. Clique em Aplicar (Apply) e, em seguida, clique em OK.

Como configurar um computador, baseado em Windows Server 2003 para utilizar um servidor NAT: 1. Clique em Iniciar (Start), logo aps Painel de controle (Control Panel), em seguida Ligaes de rede (Network Connections) e, em seguida, clique em Ligao de rea local (Local Area Connection). 2. Clique em Propriedades (Properties). 3. Clique em TCP/IP (Protocolo Internet) [Internet Protocol (TCP/IP)]. 4. Clique em Propriedades (Properties). 5. Na caixa Gateway predefinido (Default gateway), escreva o endereo IP interno do servidor NAT.

NOTA: se o computador receber o endereo IP a partir de um servidor do protocolo de configurao dinmica de anfitrio (DHCP, Dynamic Host Configuration Protocol), clique em Avanada (Advanced), clique no separador Definies de IP (IP Settings), clique em Adicionar (Add) em Gateway, escreva o endereo IP interno do servidor NAT, clique em Adicionar (Add), clique em OK e, em seguida, siga para o passo 6. 6. Clique em OK, clique em OK e, em seguida, clique em Fechar (Close).

17

Consideraes Finais

Quando a traduo de endereos de rede foi inventada, o NAT era apenas uma simples soluo para contornar a falta de IPs. Entretanto, tem provado ser til em campos completamente diferentes, nunca antes pensados, como no caso de uma rede privada no conseguir ter comunicao com a internet, tambm podendo ter aplicaes dentro das organizaes, para proteger servidores, DMZs, acesso a ranges de IP sobrepostos, VPN, etc. existindo provavelmente muitos mais aplicaes teis, ao Network Address Translation. Nesse contexto, o papel NAT tem provado que mais do que uma soluo de curto prazo e que vai ter funcionalidade por muito tempo, especialmente quando olhamos para o estado atual da implementao do IPv6, a evoluo da rede mundial de computadores e o aumento proporcional do numero de IPs, bem como a demanda, que consequentemente, transforma o NAT num meio facilitador/moderador, na relao busca x demanda, de endereos vlidos na rede mundial de computadores.

18

Referncias Bibliogrficas

WIKIPEDIA. NAT <http://pt.wikipedia.org/wiki/Network_address_translation> MORIMOTO, Carlos E. Guia do Hardware. <http://www.hardware.com.br/termos/nat>. Acesso em: 27 de outubro de 2012.

BRITO, Fernando < http://pt.scribd.com/doc/62168439/55/NAT-Network-Address-Translation>. Acesso em: 24 de outubro de 2012.

TYSON, Jeff. How Stuff Works? < http://informatica.hsw.uol.com.br/nat-traducao-de-enderecos-de-rede1.htm>. Acesso em: 24 de outubro de 2012.

Johnson, D. Configurar um servidor NAT no Windows Server 2003 . Disponvel em: < http://support.microsoft.com/kb/324264/pt>. Acesso em: 24 de outubro de 2012.

<http://wiki.mikrotik.com/wiki/NAT_Tutorial> Acesso em 24 de outubro de 2012