Wie private IP-Adressen ins Internet gelangen — und zurück. Network Address Translation im Detail.
IPv4-Adressen sind begrenzt. NAT ermöglicht es, dass viele interne Geräte über eine einzige öffentliche IP kommunizieren.
Private Adressen (10.x, 172.16–31.x, 192.168.x) sind im Internet nicht routbar. Der Router ersetzt die interne Quelladresse durch seine öffentliche IP und merkt sich die Zuordnung in einer NAT-Tabelle. Antworten werden anhand dieser Tabelle zurück an den richtigen internen Host geleitet.
Drei Varianten — von der einfachen 1:1-Zuordnung bis zur portbasierten Übersetzung.
Die Quell-IP wird beim Verlassen des Netzwerks ersetzt. Typisch: interne Clients greifen aufs Internet zu. Der Router tauscht die private Quell-IP gegen seine öffentliche.
Die Ziel-IP wird ersetzt. Typisch: Ein externer Request auf die öffentliche IP wird an einen internen Server weitergeleitet (Port Forwarding).
Viele interne Hosts teilen sich eine öffentliche IP. Unterscheidung über Portnummern. Die häufigste Form von NAT im Heimnetzwerk.
Beobachte, wie NAT/PAT die Adressen und Ports in Echtzeit umschreibt.
| # | Intern (Quelle) | Extern (Übersetzt) | Ziel | Typ |
|---|
Eine spezielle Form von DNAT — externer Traffic auf einem bestimmten Port wird an einen internen Server weitergeleitet.
Eingehender Traffic auf 203.0.113.1:80 wird weitergeleitet an 192.168.1.50:80. Der interne Apache/Nginx-Server ist von außen erreichbar, ohne eine öffentliche IP zu brauchen.
Port 3389 (RDP) auf der öffentlichen IP → 192.168.1.100:3389. Ermöglicht Remote-Desktop-Zugriff von außen. Sicherheitsrisiko ohne VPN!
Ports 25 (SMTP), 993 (IMAPS) → interner Mailserver 10.0.0.5. Mehrere Ports können auf denselben Host zeigen.
Jeder offene Port ist ein potenzieller Angriffsvektor. Best Practice: nur notwendige Ports öffnen, Firewall-Regeln kombinieren, und wenn möglich statt Port Forwarding einen VPN-Tunnel nutzen.