NAT / PAT: как вся сеть выходит в интернет через один адрес

NAT (Network Address Translation, трансляция сетевых адресов) — это технология, которая на пограничном устройстве подменяет частные IP-адреса локальной сети на публичный адрес для выхода в интернет. PAT (Port Address Translation) — самый частый вариант NAT, при котором десятки устройств выходят наружу через один внешний адрес, различаясь по номерам портов.

Зачем это нужно

Внутри офиса устройства используют частные адреса (например, диапазоны 192.168.x.x или 10.x.x.x) — они не маршрутизируются в интернете и есть у всех. Публичных же IPv4-адресов в мире не хватает, провайдер обычно выдаёт компании один-два внешних адреса. NAT решает это противоречие: вся внутренняя сеть прячется за публичным адресом маршрутизатора.

Когда сотрудник открывает сайт, его частный адрес на выходе заменяется на публичный адрес офиса. Ответ от сайта приходит на этот публичный адрес, а NAT-устройство «вспоминает», какому внутреннему компьютеру его вернуть. Снаружи вся компания выглядит как один адрес — это даёт ещё и побочный эффект приватности: внутренняя структура сети не видна из интернета.

NAT и PAT — в чём разница

• Статический NAT (1:1) — один внутренний адрес жёстко привязан к одному публичному. Применяется, когда из интернета нужен постоянный доступ к конкретному серверу.
• Динамический NAT — внутренние адреса берут публичные из пула по мере надобности. Нужно, чтобы публичных адресов хватало.
• PAT (NAT overload) — главный рабочий режим. Множество внутренних устройств выходят через один публичный адрес, а различаются по номеру порта в таблице трансляций. Именно так работает домашний роутер и большинство офисных шлюзов.

Аналогия: публичный адрес — это телефон офиса с многоканальным номером, а порт — добавочный. Звонок снаружи приходит на один номер, а коммутатор по добавочному понимает, на чей стол его перевести.

Проброс портов и доступ извне

Раз внутренняя сеть спрятана за NAT, из интернета напрямую к внутреннему серверу не достучаться. Чтобы открыть, например, веб-сервер или видеонаблюдение наружу, настраивают проброс портов (port forwarding, DNAT): «запросы на публичный адрес и порт 443 направляй на внутренний сервер». Это удобно, но каждый проброс — это дыра в периметре, которую нужно прикрывать межсетевым экраном.

Безопаснее не пробрасывать порты наружу, а давать сотрудникам доступ к внутренним ресурсам через VPN — тогда сервисы остаются невидимыми из интернета. Подробнее — в материалах про удалённый доступ по VPN и IPsec-туннели.

Подводные камни NAT

• Проблемы с VPN и IPsec — некоторые протоколы шифрования плохо живут за NAT, потому что он меняет заголовки пакета. Решение — NAT-Traversal (NAT-T), который заворачивает трафик так, чтобы трансляция его не ломала.
• Сложности для входящих соединений — IP-телефония, видеосвязь и P2P-сервисы за NAT требуют дополнительной настройки (SIP ALG, STUN), иначе звонок проходит, но звука нет.
• Логирование — при PAT за одним адресом сотни сессий. Для разбора инцидентов и выполнения требований законодательства нужно вести журнал трансляций.
• Двойной NAT — когда провайдер сам прячет клиента за своим NAT (CG-NAT), проброс портов на стороне офиса перестаёт работать. Нужен «белый» (выделенный публичный) адрес от провайдера.

Что включает наша услуга

• Проектирование схемы адресации и трансляций для офиса или нескольких площадок
• Настройка PAT для выхода сети в интернет через выделенные адреса провайдера
• Аккуратный проброс только нужных сервисов с защитой межсетевым экраном NGFW
• Перевод входящего доступа с пробросов на безопасный VPN там, где это оправдано
• Настройка NAT-T для корректной работы IPsec-туннелей между офисами
• Ведение журналов трансляций и мониторинг из NOC

Связанные термины

• NGFW — межсетевой экран нового поколения — каждый проброс порта прикрывается правилами и инспекцией NGFW
• VPN для удалённого доступа — безопасная альтернатива пробросу портов наружу
• IPsec — шифрование между офисами — за NAT работает через механизм NAT-Traversal

Как организовать защищённый доступ сотрудников и филиалов без открытых портов — в статье VPN для удалённых сотрудников и филиалов.