Source-NAT / Destination-NAT?!?!

...komplette Frage anzeigen

2 Antworten

Du musst doch einfach im Google nach z.B. "unterschied source nat destination nat" suchen....

Ein Beispiel (aus http://wiki.hackerboard.de/index.php/NAT,_NAT-Router_und_PAT):

Man kann das NAT-Gerät als Durchgangsgebäude verstehen, welches auf beiden Straßenseiten eine Tür hat. Dieses Durchgangsgebäude funktioniert wie ein automatisiertes Postfach, welches alle dort eingehenden Pakete aus Straße 2 an den im Postfach festgelegten Empfänger aus Straße 1 durchreicht. Dafür ändert das NAT-Gerät die Adresse der Pakete dahingehend, dass nun als Adressat der interne Computer zu erkennen ist, ehe er die Pakete in das interne Netz weiterreicht (man spricht von „Destination NAT“ / DNAT).

Schickt hingegen der Computer ein Paket durch das NAT-Gerät hindurch in das Internet, so versieht das NAT-Gerät das Paket automatisch mit seiner eigenen Absenderadresse, damit die Antwortpakete auch wieder an das NAT-Gerät adressiert werden (hier spricht man von „Source NAT“ / SNAT). Auf diese Weise wird die Absenderadresse des Rechners auf dem Weg zum Internet in eine öffentliche (internetkompatible) Adresse übersetzt.

NAT = Network Address Translation. Die Network Address ist die IP-Adresse. NAT wurde als Workaround entwickelt, um den knappen Adressraum von IPv4 zu schonen. Im Heim- und Unternehmensnetz werden die Rechner mit privaten Adressen versorgt. Da man mit denen nicht aufs Internet zugreifen kann, werden die dann automatisch beim Internetzugriff per NAT in eine öffentliche Adresse übersetzt. NAT macht jeder heimische Internetrouter. In der Regel wird gleichzeitig auch PAT gemacht - Port Address Translation. Nur so ist es möglich, dass mehrere Rechner mit einer vorhandenen öffentlichen IP-Adresse gleichzeitig aufs Internet zugreifen können.

Vorteil: Es können mit einer öffentlichen IP-Adresse bis zu 64512 Rechner gleichzeitig aufs Internet zugreifen. Viele sehen auch einen Vorteil, weil die Netzstruktur hinter einer IP-Adresse versteckt wird. Ein Datenaustausch kann nur aus dem privaten Netz heraus initiiert werden, von außen können nur Antworten ihr Ziel erreichen.

Nachteil: Es gibt Applikationen, die mit NAT nicht zurecht kommen. Teilweise, weil in den Applikationsdaten ebenfalls die IP-Adressen enthalten sind und dann Applikationsdaten und Headerdaten differieren. Oder aber bei Verwendung von IPSec, wo das Übersetzen der IP-Adresse bei Verwendung von Authentication Header (AH) die Datenintegrität zerstört. Verwendet man stattdessen nur ESP ohne AH, kann man zwar NAT machen, aber kein PAT. Dagegen gibt es wieder den Workaround NAT-T.

In der Regel macht man Source NAT, es wird also die Absender-Adresse übersetzt. Die Zieladresse muss man nur in speziellen Szenarien übersetzen (Destination NAT), z.B. wenn Daten zwischen zwei privat adressierten Netzen ausgetauscht werden müssen, deren Adressräume sich überschneiden.

Was möchtest Du wissen?