24/1/2014 Julio Battisti

http://www.juliobattisti.com.br/artigos/windows/tcpip_p20.asp 1/7
Tutorial de TCP/IP Parte 20 NAT Network Address
Translation
Introduo:
Prezados leitores, esta a vigsima e ltima parte, desta primeira etapa dos tutoriais
de TCP/IP. As partes de 01 a 20, constituem o mdulo que eu classifiquei como
Introduo ao TCP/IP. O objetivo deste mdulo foi apresentar o TCP/IP, mostrar como
o funcionamento dos servios bsicos, tais como endereamento IP e Roteamento e
fazer uma apresentao dos servios relacionados ao TCP/IP, tais como DNS, DHCP,
WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexo Internet e
NAT (assunto desta parte, ou seja Parte 20 do tutorial).
Esta a vigsima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do
protocolo TCP/IP. Na Parte 2falei sobre clculos binrios, um importante tpico para
entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre
Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte
5apresentei mais alguns exemplos e anlises de como funciona o roteamento e
na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma
rede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz uma
apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name
System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes
TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente.
Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP.
Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS.
Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao.
Na Parte 12, mostrei como so efetuadas as configuraes de portas em diversos
aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para
exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e
a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo
de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro
protocolo de roteamento dinmico, o OSPF. NaParte 16 voc aprendeu sobre um
recurso bem til: O compartilhamento da conexo Internet, oficialmente conhecida
como ICS Internet Connection Sharing. Este recurso til quando voc tem uma
pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o
protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc
pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os
demais computadores da rede tambm passaro a ter acesso Internet.. Na Parte 17,
voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com
a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando
disponvel no Windows 2000.O IFC tem como objetivo proteger o acesso do
usurio contra ataques e perigos vindos da Internet. Na Parte 18 fiz uma
apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows
XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal de
comunicao seguro, onde todos os dados que so trocados entre os computaodres
habilitados ao IPSec, so criptografados. Na Parte 19, fiz uma apresentao sobre o
conceito de PKI Public Key Infrastructure e Certificados Digitais. O Windows 2000
Server e tambm o Windows Server 2003 disponibilizam servios para a emisso,
gerenciamento e revogao de Certificados Digitais. Falei sobre o papel dos Certificados
Digitais em relao segurana das informaes.
Nesta vigsima parte ser a vez de falar um pouco mais sobre o servio (ou protocolo
como preferem alguns) NAT Network Address Transaltion. Voc entender o que o
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p20.asp 2/7
NAT e qual a sua funo na conexo de uma rede com a Internet.
Nota: Para aprender a instalar, configurar e a administrar os servioes relacionados ao
TCP/IP, no Windows 2000 Server, tais como o DNS, DHCP, WINS, RRAS, Ipsec, NAT e
assim por diante, o livro de minha autoria: Manual de Estudos Para o Exame 70-216,
712 pginas.
Entendendo como funciona o NAT
Vamos inicialmente entender exatamente qual a funo do NAT e em que situaes ele
indicado. O NAT surgiu como uma alternativa real para o problema de falta de
endereos IP v4 na Internet. Conforme descrito na Parte 1, cada computador que
acessa a Internet deve ter o protocolo TCP/IP corretamente instalado e configurado.
Para isso, cada computador da rede interna, precisaria de um endereo IP vlido na
Internet. No haveria endereos IP v4 suficientes. A criao do NAT veio para solucionar
esta questo.(ou pelo menos fornecer uma alternativa at que o IP v6 esteja em uso
na maioria dos sistemas da Internet). Com o uso do NAT, os computadores da rede
Interna, utilizam os chamados endereos Privados. Os endereos privados no so
vlidos na Internet, isto , pacotes que tenham como origem ou como destino, um
endereo na faixa dos endereos privados, no sero encaminhados, sero
descartados pelos roteadores. O software dos roteadores est configurado para
descartar pacotes com origem ou destino dentro das faixas de endereos IP privados.
As faixas de endereos privados so definidas na RFC 1597 e esto indicados a seguir:
10.0.0.0 -> 10.255.255.255
172.16.0.0 -> 172.31.255.255
192.168.0.0 -> 192.168.255.255
Existem algumas questes que devem estar surgindo na cabea do amigo leitor. Como
por exemplo: Qual a vantagem do uso dos endereos privados? O que isso tem a
ver com o NAT? Muito bem, vamos esclarecer estas questes.
Pelo fato de os endereos privados no poderem ser utilizados diretamente na Internet,
isso permite que vrias empresas utilizem a mesma faixa de endereos privados, como
esquema de endereamento da sua rede interna. Ou seja, qualquer empresa pode
utilizar endereos na faixa 10.0.0.0 -> 10.255.255.255 ou na faixa 172.16.0.0 ->
72.31.255.255 ou na faixa 192.168.0.0 -> 192.168.255.255.
Com o uso do NAT, a empresa fornece acesso Internet para um grande
nmero de computadores da rede interna, usando um nmero bem menor de
endereos IP, vlidos na Internet.
Por exemplo, uma rede com 100 computadores, usando um esquema de
endereamento 10.10.0.0/255.255.0.0, poder ter acesso Internet, usando o NAT,
usando um nico endereo IP vlido: o endereo IP da interface externa do NAT.
Observe que com isso temos uma grande economia de endereos IP: No nosso
exemplo temos 100 computadores acessando a Internet (configurados com endereos
IP privados), os quais utilizam um nico endereo IP vlido, que o endereo IP da
interface externa do servidor configurado como NAT.
Muito bem, respondi as questes anteriores mas agora devem ter surgido novas
questes na cabea do amigo leitor, como por exemplo:
1. Se houver mais de um cliente acessando a Internet ao mesmo tempo e o NAT
possui apenas um endereo IP vlido (ou em outras situaes, se houver um nmero
maior de clientes internos acessando a Internet, do que o nmero de endereos IP
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p20.asp 3/7
disponveis no NAT. E o nmero de endereos IP, disponveis no NAT sempre ser
menor do que o nmero de computadores da rede interna, uma vez que um dos
principais objetivos do uso do NAT reduzir a quantidade de nmeros IP vlidos), como
possvel a comunicao de mais de um cliente, ao mesmo tempo, com a Internet?
2. Quando a resposta retorna, como o NAT sabe para qual cliente da rede interna
ela se destina, se houver mais de um cliente acessando a Internet?
Inicialmente vamos observar que o esquema de endereamento utilizado pela empresa
do nosso exemplo (10.10.0.0/255.255.0.0) est dentro de uma faixa de endereos
Privados. Aqui est a principal funo do NAT, que o papel de traduzir os
endereos privados, os quais no so vlidos na Internet, para o endereo
vlido, da interface pblica do servidor com o NAT.
Para entender exatamente o funcionamento do NAT, vamos considerar um exemplo
prtico. Imagine que voc tem cinco computadores na rede, todos usando o NAT. Os
computadores esto utilizando os seguintes endereos:
10.10.0.10
10.10.0.11
10.10.0.12
10.10.0.13
10.10.0.14
O computador com o NAT habilitado tem as seguintes configuraes:
IP da interface interna: 10.10.0.1
IP da interface externa: Um ou mais endereos vlidos na Internet, obtidos a partir da conexo
com o provedor de Internet, mas sempre em nmero bem menor do que a quantidade de
computadores da rede interna.
Quando um cliente acessa a Internet, no pacote de informaes enviado por este
cliente, est registrado o endereo IP da rede interna, por exemplo: 10.10.0.10. Porm
este pacote no pode ser enviado pelo NAT para a Internet, com este endereo IP
como endereo de origem, se no no primeiro roteador este pacote ser descartado,
j que o endereo 10.10.0.10 no um endereo vlido na Internet (pois um
endereo que pertence a uma das faixas de endereos privados, conforme descrito
anteriormente). Para que este pacote possa ser enviado para a Internet, o NAT
substitui o endereo IP de origem por um dos endereos IP da interface externa do NAT
(endereo fornecido pelo provedor de Internet e, portanto, vlido na Internet). Este
processo que chamado de traduo de endereos, ou seja, traduzir de um endereo
IP interno, no vlido na Internet, para um endereo IP externo, vlido na Internet.
Quando a resposta retorna, o NAT repassa a resposta para o cliente que originou o
pedido.
Mas ainda fica a questo de como o NAT sabe para qual cliente interno a resposta, se
os pacotes de dois ou mais clientes podem ter sido traduzidos para o mesmo endereo
IP externo. A resposta para estas questo a mesma. O NAT ao executar a funo de
traduo de endereos, associa um nmero de porta, que nico, com cada um dos
computadores da rede interna. A traduo de endereos funciona assim:
1. Quando um cliente interno tenta se comunicar com a Internet, o NAT substitui o
endereo interno do cliente como endereo de origem, por um endereo vlido na
Internet. Mas alm do endereo tambm associada uma porta de comunicao. Por
exemplo, vamos supor que o computador 10.10.0.12 tenta acessar a Internet. O NAT
substitui o endereo 10.10.0.12 por um endereo vlido na Internet, vou chutar um:
144.72.3.21. Mas alm do nmero IP tambm associada uma porta, como por
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p20.asp 4/7
exemplo: 144.72.3.21:6555. O NAT mantm uma tabela interna onde fica registrado
que, comunicao atravs da porta tal est relacionada com o cliente tal. Por
exemplo, a tabela do NAT, em um determinado momento, poderia ter o seguinte
contedo:
144.72.3.21:6555 10.10.0.10
144.72.3.21:6556 10.10.0.11
144.72.3.21:6557 10.10.0.12
144.72.3.21:6558 10.10.0.13
144.72.3.21:6559 10.10.0.14
Observe que todos os endereos da rede interna so traduzidos para o mesmo
endereo externo, porm com um nmero diferente de porta para cada cliente da rede
interna.
2. Quando a resposta retorna, o NAT consulta a sua tabela interna e, pela
identificao da porta, ele sabe para qual computador da rede interna deve ser enviado
o pacote de informaes, uma vez que a porta de identificao est associada com um
endereo IP da rede interna. Por exemplo, se chegar um pacote endereado a
144.72.3.21:6557, ele sabe que este pacote deve ser enviado para o seguinte
computador da rede interna: 10.10.0.12, conforme exemplo da tabela anterior. O NAT
obtm esta informao a partir da tabela interna, descrita anteriormente.
Com isso, vrios computadores da rede interna, podem acessar a Internet, ao mesmo
tempo, usando um nico endereo IP ou um nmero de endereos IP bem menor do
que o nmero de computadores da rede interna. A diferenciao feita atravs de uma
atribuio de porta de comunicao diferente, associada com cada IP da rede interna.
Este o princpio bsico do NAT Network Address Translation (Traduo de Endereos
IP).
Agora que voc j sabe o princpio bsico do funcionamento do NAT, vamos entender
quais os componentes deste servio no Windows 2000 Server e no Windows Server
2003.
Os componentes do NAT
O servio NAT composto, basicamente, pelos seguintes elementos:
Componente de traduo de endereos: O NAT faz parte do servidor RRAS. Ou seja, para que
voc possa utilizar o servidor NAT, para fornecer conexo Internet para a rede da sua
empresa, voc deve ter um servidor com o RRAS instalado e habilitado (veja o Captulo 6 do livro
Manual de Estudos Para o Exame 70-216, de minha autoria, para detalhes sobre a habilitao do
RRAS). O servidor onde est o RRAS deve ser o servidor conectado Internet. O componente de
traduo de endereos faz parte da funcionalidade do NAT e ser habilitado, assim que o NAT for
configurado no RRAS.
Componente de endereamento: Este componente atua como um servidor DHCP simplificado, o
qual utilizado para concesso de endereos IP para os computadores da rede interna. Alm do
endereo IP, o servidor DHCP simplificado capaz de configurar os clientes com informaes tais
como a mscara de sub-rede, o nmero IP do gateway padro (default gateway) e o nmero IP
do servidor DNS. Os clientes da rede interna devem ser configurados como clientes DHCP, ou
seja, nas propriedades do TCP/IP, voc deve habilitar a opo para que o cliente obtenha um
endereo IP automaticamente. Computadores executando o Windows Server 2003 (qualquer
edio), Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98 ou Windows 95,
so automaticamente configurados como clientes DHCP. Caso um destes clientes tenha sido
configurado para usar um IP fixo, dever ser reconfigurado para cliente DHCP, para que ele
possa utilizar o NAT.
Componente de resoluo de nomes: O computador no qual o NAT habilitado, tambm
desempenha o papel de um servidor DNS, o qual utilizado pelos computadores da rede interna.
Quando uma consulta para resoluo de nomes enviada por um cliente interno, para o
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p20.asp 5/7
computador com o NAT habilitado, o computador com o NAT repassa esta consulta para um
servidor DNS da Internet (normalmente o servidor DNS do provedor de Internet) e retorna a
resposta obtida para o cliente. Esta funcionalidade idntica ao papel de DNS Proxy, fornecida
pelo ICS, conforme descrita na Parte 16.
Importante: Como o NAT inclui as funcionalidades de endereamento e resoluo de
nomes, voc ter as seguintes limitaes para o uso de outros servios, no mesmo
servidor onde o NAT foi habilitado:
Voc no poder executar o servidor DHCP ou o DHCP Relay Agent no servidor NAT.
Voc no poder executar o servidor DNS no servidor NAT.
Um pouco de planejamento antes de habilitar o NAT
Antes de habilitar o NAT no servidor RRAS, para fornecer conexo Internet para os
demais computadores da rede, existem alguns fatores que voc deve levar em
considerao. Neste item descrevo as consideraes que devem ser feitas, antes da
habilitao do NAT. Estes fatos ajudam a evitar futuros problemas e necessidade de
reconfiguraes no NAT.
1. Utilize endereos privados para os computadores da rede interna.
Esta a primeira e bvia recomendao. Para o esquema de endereamento da rede
interna, voc deve utilizar uma faixa de endereos, dentro de uma das faixas de
endereos privados: 10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou
192.168.0.0/255.255.0.0. Voc pode utilizar diferentes mscaras de sub-rede, de
acordo com as necessidades da sua rede. Por exemplo, se voc tiver uma rede com
100 mquinas, pode utilizar um esquema de endereamento:
10.10.10.0/255.255.255.0, o qual disponibiliza at 254 endereos. Por padro, o NAT
utiliza o esquema de endereamento 192.168.0.0/255.255.255.0. Porm possvel
alterar este esquema de endereamento, nas configuraes do NAT. Lembre-se que,
uma vez habilitado o NAT, este passa a atuar como um servidor DHCP para a rede
interna, fornecendo as configuraes do TCP/IP para os clientes da rede interna. Com
isso, nas configuraes do NAT (para todos os detalhes sobre as configuraes do NAT,
consulte o Captulo 7 do livro Manual de Estudos Para o Exame 70-216, de minha
autoria), voc define o escopo de endereos que ser fornecido para os clientes da
rede.
Nota: Voc tambm poderia configurar a sua rede interna com uma faixa de endereos
IP vlidos, porm no alocados diretamente para a sua empresa. Ou seja, voc estaria
utilizando na rede interna, um esquema de endereamento que foi reservado para uso
de outra empresa. Esta no uma configurao recomendada e conhecida como:
illegal or overlapping IP addressing. O resultado prtico que, mesmo assim, voc
conseguir usar o NAT para acessar a Internet, porm no conseguir acessar os
recursos da rede para o qual o esquema de endereamento foi oficialmente alocado.
Por exemplo, se voc resolveu usar o esquema de endereamento 1.0.0.0/255.0.0.0,
sem se preocupar em saber para quem esta faixa de endereos foi reservado. Mesmo
assim voc conseguir acessar a Internet usando o NAT, voc apenas no conseguir
acessar os recursos e servidores da empresa que usa, oficialmente, o esquema de
endereamento 1.0.0.0/255.0.0.0, que voc resolveu utilizar para a rede interna da
sua empresa.
Ao configurar o NAT, o administrador poder excluir faixas de endereos que no
devem ser fornecidas para os clientes. Por exemplo, se voc tiver alguns equipamentos
da rede interna (impressoras, hubs, switchs, etc) que devam ter um nmero IP fixo,
voc pode excluir uma faixa de endereos IP no servidor NAT e utilizar estes endereos
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p20.asp 6/7
para configurar os equipamentos que, por algum motivo, precisam de um IP fixo.
2. Usar um ou mais endereos IP pblicos.
Se voc estiver utilizando um nico endereo IP, fornecido pelo provedor de Internet,
no sero necessrias configuraes adicionais no NAT. Porm se voc obtm dois ou
mais endereos IP pblicos, voc ter que configurar a interface externa do NAT
(interface ligada a Internet), com a faixa de endereos pblicos, fornecidos pelo
provedor de Internet. A faixa informada no formato padro: Nmero IP/Mscara de
sub-rede. Pode existir situaes em que nem todos os nmeros fornecidos pelo
provedor possam ser informados usando esta representao. Nestas situaes pode
acontecer de voc no poder utilizar todos os endereos disponibilizados pelo provedor
de Internet, a no ser que voc utilize a representao por faixas, conforme descrito
mais adiante.
Se o nmero de endereos fornecido for uma potncia de 2 (2, 4, 8, 16, 32, 64 e
assim por diante), mais provvel que voc consiga representar a faixa de endereos
no formato Nmero IP/Mscara de sub-rede. Por exemplo, se voc recebeu quatro
endereos IP pblicos: 206.73.118.212, 206.73.118.213, 206.73.118.214 e
206.73.118.215. Esta faixa pode ser representada da seguinte maneira:
206.73.118.212/255.255.255.252.
Nota: Para maiores detalhes sobre a representao de faixas de endereos IP e
mscaras de sub-rede, consulte as seguintes partes deste tutorial: Parte 1,Parte
2, Parte 3 e Parte 4.
Caso no seja possvel fazer a representao no formato Nmero IP/Mscara de sub-
rede, voc pode informar os endereos pblicos como uma srie de faixas de
endereos, conforme exemplo a seguir:
206.73.118.213 -> 206.73.118.218
206.73.118.222 -> 206.73.118.240
3. Permitir conexes da Internet para a rede interna da empresa
O funcionamento normal do NAT, permite que sejam feitas conexes da rede privada
para recursos na Internet. Por exemplo, um cliente da rede acessando um servidor de
ftp na Internet. Neste caso, o cliente executando um programa cliente de ftp, faz a
conexo com um servidor ftp da Internet. Quando os pacotes de resposta chegam no
NAT, eles podem ser repassados ao cliente, pois representam a resposta a uma
conexo iniciada internamente e no uma tentativa de acesso vinda da Internet.
Voc pode querer fornecer acesso a um servidor da rede interna, para usurios da
Internet. Por exemplo, voc pode configurar um servidor da rede interna com o IIS e
instalar neste servidor o site da empresa. Em seguida voc ter que configurar o NAT,
para que os usurios da Internet possam acessar este servidor da rede interna.
Observe que nesta situao, chegaro pacotes da Internet, os quais no representaro
respostas a requisies dos clientes da rede interna, mas sim requisies de acesso dos
usurios da Internet, a um servidor da rede interna. Por padro este trfego ser
bloqueado no NAT. Porm o administrador pode configurar o NAT para aceitar
requisies vindas de clientes da Internet, para um servidor da rede interna. Para fazer
estas configuraes voc deve seguir os seguintes passos:
Para permitir que usurios da Internet, acessem recursos na sua rede interna, siga os
passos indicados a seguir:
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p20.asp 7/7
O servidor da rede interna, que dever ser acessado atravs da Internet, deve ser configurado
com um nmero IP fixo (nmero que faa parte da faixa de endereos fornecidos pelo NAT, para
uso da rede interna) e com o nmero IP do default gateway e do servidor DNS (o nmero IP da
interface interna do computador com o NAT habilitado).
Excluir o endereo IP utilizado pelo servidor da rede Interna (servidor que estar acessvel para
clientes da Internet) da faixa de endereos fornecidos pelo NAT, para que este endereo no
seja alocado dinamicamente para um outro computador da rede, o que iria gerar um conflito de
endereos IP na rede interna.
Configurar uma porta especial no NAT. Uma porta especial um mapeamento esttico de um
endereo pblico e um nmero de porta, para um endereo privado e um nmero de porta. Esta
porta especial faz o mapeamento das conexes chegadas da Internet para um endereo
especfico da rede interna. Com o uso de portas especiais, por exemplo, voc pode criar um
servidor HTTP ou FTP na rede interna e torn-lo acessvel a partir da Internet.
Nota: Para aprender os passos prticos para a criao de portas especiais no NAT,
consulte o Captulo 7 do livro: Manual de Estudos Para o Exame 70-216, de minha
autoria.
4. Configurando aplicaes e servios.
Algumas aplicaes podem exigir configuraes especiais no NAT, normalmente com a
habilitao de determinadas portas. Por exemplo, vamos supor que voc est usando o
NAT para conectar 10 computadores de uma loja de jogos, com a Internet. Pode ser
necessria a habilitao das portas utilizadas por determinados jogos, para que estes
possam ser executados atravs do NAT. Se estas configuraes no forem feitas, o
NAT ir bloquear pacotes que utilizem estas portas e os respectivos jogos no podero
ser acessados.
5. Conexes VPN iniciadas a partir da rede interna.
No Windows 2000 Server no possvel criar conexes VPN L2TP/IPSec, a partir de
uma rede que utilize o NAT. Esta limitao foi superada no Windows Server 2003.
Muito bem, de teoria sobre NAT isso.
Concluso
Nesta parte do tutorial fiz uma breve apresentao sobre o servio de traduo de
endereos NAT Network Address Translation. Esta foi a vigsima e ltima parte,
desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o
mdulo que eu classifiquei como Introduo ao TCP/IP. O objetivo deste mdulo foi
apresentar o TCP/IP, mostrar como o funcionamento dos servios bsicos, tais como
endereamento IP e Roteamento e fazer uma apresentao dos servios relacionados
ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS,
compartilhamento da conexo Internet e NAT (assunto desta parte, ou seja Parte 20
do tutorial).