NAT - Network Address Translation, porta e encaminhamento porta

Maio 2015

Princípio do NAT

O mecanismo de tradução de endereços (em inglês Network Address Translation, notado NAT) foi criado para responder à escassez de endereços IP com o protocolo IPv4 (o protocolo IPv6 responderá a termo a este problema).

Com efeito, em endereçamento IPv4, o número de endereços IP rotáveis (e por conseguinte, únicos no planeta) não é suficiente para permitir as todas as máquinas que precisam de ser ligadas à Internet.

O princípio do NAT consiste então em utilizar uma ponte estreita de conexão à Internet, possuindo pelo menos um interface rede ligado à rede interna e pelo menos interface rede ligado à Internet (que possui um endereço IP rotável), para conectar o conjunto das máquinas da rede.

Passerelle NAT



Trata-se de realizar, a nível da ponte estreita, uma translation (literalmente “uma tradução”) dos pacotes que provêm da rede interna para a rede externa.

Assim, cada máquina da rede que necessita de aceder à Internet é configurada para utilizar a ponte estreita NAT (precisando o endereço IP da ponte estreita no campo “Gateway” dos seus parâmetros TCP/IP). Quando uma máquina da rede efectua um pedido à internet, a ponte estreita efectua o pedido em seu lugar, recebe a resposta, e seguidamente transmite-a à máquina que fez o pedido.

Principe de la translation d\



Já que a ponte estreita camufla completamente o endereçamento interno de uma rede, o mecanismo de tradução de endereços permite assegurar uma função de segurança. Com efeito, para um observador externo à rede, todos os pedidos parecem provir do endereço IP da ponte estreita.

Espaços de endereçamento

O organismo que gere o espaço de endereçamento público (endereços IP rotáveis) é a Internet Assigned Number Authority (IANA). O RFC 1918 define um espaço de endereçamento privado que permite a qualquer organização atribuir endereços IP às máquinas da sua rede interna sem risco de entrar em conflito com um endereço IP público atribuído pelo IANA. Estes endereços ,ditos não-rotáveis, correspondem aos intervalos de endereços seguintes :

  • Classe A : intervalo de 10.0.0.0 a 10.255.255.255 ;
  • Classe B : intervalo de 172.16.0.0 a 172.31.255.255 ;
  • Classe C : intervalo de 192.168.0.0 a 192.168.255.55 ;

Todas as máquinas de uma rede interna, ligadas à Internet através de switch e que não possuem um endereço IP público devem utilizar um endereço contido num destes intervalos. Para as pequenas redes domésticas, a gama de endereços de 192.168.0.1 a 192.168.0.255 é geralmente utilizada.

Tradução estática

O princípio do NAT estático consiste em associar um endereço IP público a um endereço IP privado interno à rede. O switch (ou mais exactamente a ponte estreita) permite então associar a um endereço IP privado (por exemplo 192.168.0.1) um endereço IP público rotável na Internet e fazer a tradução, tanto num sentido como no outro, alterando o endereço no pacote IP.

A tradução de endereço estática permite assim conectar máquinas da rede interna à Internet de maneira transparente, mas não resolve o problema da escassez de endereços, na medida em que n endereços IP rotáveis são necessários para conetar n máquinas da rede interna.

Tradução dinâmica

O NAT dinâmico permite partilhar um endereço IP rotável (ou um número reduzido de endereços IP rotáveis) entre várias máquinas em endereçamento privado. Assim, todas as máquinas da rede interna possuem virtualmente, vistas do exterior, o mesmo endereço IP. É a razão pela qual o termo de “máscara IP” (em inglês IP masquerading) é às vezes utilizado para designar o mecanismo de tradução de endereço dinâmico.
Para poder “multiplicar” (partilhar) os diferentes endereços IP sobre um ou vários endereços IP rotáveis, o NAT dinâmico utiliza o mecanismo de tradução de porta (PAT - Port Address Translation), quer dizer, a afectação de uma porta fonte diferente a cada pedido, de maneira a poder manter uma correspondência entre os pedidos que provêm da rede interna e as respostas das máquinas na Internet, todas dirigidas ao endereço IP switch.

Port Forwarding

A tradução de endereço só permite retransmitir pedidos que provêm da rede interna para a rede externa, o que significa que é impossível, para uma máquina externa, enviar um pacote para uma máquina da rede interna. Noutros termos, as máquinas da rede interna não podem funcionar como servidor no que diz respeito ao exterior.

Por esta razão, existe uma extensão do NAT chamada “redirecionamento de porta” (em inglês Port Forwarding ou Port mapping) que consiste em configurar a ponte estreita para transmitir a uma máquina específica da rede interna, todos os pacotes recebidos numa porta específica. Assim, se se desejar poder aceder do exterior a um servidor web (porta 80) que funciona na máquina 192.168.1.2, será necessário definir uma regra de redireccionamento de porta para a ponte estreita, redirigindo todos os pacotes TCP recebidos na sua porta 80 para a máquina 192.168.1.2.

Port Triggering

A maior parte das aplicações cliente-servidor efectua um pedido a um hóspede distante numa porta dada e abre um porta em regresso para recuperar os dados. No entanto, certas aplicações utilizam mais de uma porta para trocar dados com o servidor, é o caso por exemplo do FTP, pelo qual uma conexão é estabelecida pela porto 21, mas os dados são transferidos pela porta 20. Assim, com o mecanismo NAT, após um pedido de conexão à porta 21 de um servidor FTP distante, a ponte estreita espera uma conexão numa só porta e recusará o pedido de conexão à porta 20 do cliente.

Existe um mecanismo derivado do NAT, chamado “desencadeamento de porto” (em inglês port triggering), permitindo autorizar a conexão a certos portos (port forwarding) se uma condição (pedido) for preenchida. Trata-se por conseguinte de um redireccionamento de porta condicional, permitindo não deixar aberta uma porta permanentemente, mas unicamente quando uma aplicação tem necessidade.

Mais informações

Para mais informação é aconselhável consultar este artigo, consagrado à tradução de endereço:




Os RFC 1918 e 3022 (em inglês) descrevem em detalhe o princípio de espaço de endereçamento interno e tradução de endereços :




Artigo escrito por Jean-François PILLOU

Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Nat-network-address-translation-porta-e-encaminhamento-porta .pdf

A ver igualmente


NAT- Network address translation, port forwarding and port trigg
NAT- Network address translation, port forwarding and port trigg
NAT- Conversión de direcciones de red, habilitación de puertos y
NAT- Conversión de direcciones de red, habilitación de puertos y
NAT - Adressenumsetzung, port forwarding und port triggering
NAT - Adressenumsetzung, port forwarding und port triggering
NAT - Translation d'adresses, port forwarding et port triggering
NAT - Translation d'adresses, port forwarding et port triggering
NAT - Traslazione di indirizzi, port forwarding e port triggerin
NAT - Traslazione di indirizzi, port forwarding e port triggerin
Este documento, intitulado « NAT - Network Address Translation, porta e encaminhamento porta  »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.