F5-Glossar

Netzwerkadress-Port-Übersetzung (NAPT)

Was ist NAPT (Network Address Port Translation)?

NAPT, die Abkürzung für „Network Address Port Translation“, ist eine Technik zum Übersetzen von IP-Adressen und Portnummern in TCP- (oder UDP-)/IP-Paketen in eine andere IP-Adresse und Portnummer. Es wird auch als IP-Maskerade bezeichnet und kann als Weiterentwicklung von NAT (Network Address Translation), einer Technologie zur IP-Adressübersetzung, betrachtet werden.

Bei NAT werden IP-Adressen im Header von IP-Paketen von einer Adresse in eine andere übersetzt. Es wird häufig verwendet, um internen Geräten mit zugewiesenen privaten IP-Adressen (eingeführt, um das Problem der Erschöpfung von IPv4-Adressen zu lösen) die Kommunikation mit externen Servern über das Internet unter Verwendung einer gemeinsamen globalen IP-Adresse zu ermöglichen. Allerdings unterstützt NAT nur eine Eins-zu-eins-Adresszuordnung, was die gleichzeitige Kommunikation mehrerer Geräte verhindert. NAPT wurde entwickelt, um diese Einschränkung zu beheben.

Wenn NAPT Pakete von Geräten empfängt, denen private IP-Adressen zugewiesen sind, übersetzt es die Quell-IP-Adresse in eine globale IP-Adresse und ändert die Quell-Portnummer. Es zeichnet die Korrespondenz zwischen der ursprünglichen und der übersetzten Adresse auf und leitet die Pakete dann an das Internet weiter. Antworten vom Server werden an die geänderte IP-Adresse und Portnummer gesendet, die NAPT verwendet, um sie wieder der ursprünglichen privaten IP-Adresse und Portnummer zuzuordnen, bevor die Pakete an das Ursprungsgerät übermittelt werden. Durch die Änderung der Portnummern kann NAPT zwischen verschiedenen privaten IP-Adressen unterscheiden. Dadurch können mehrere Geräte die gleiche globale IP-Adresse für die gleichzeitige Kommunikation verwenden und werden dabei durch ihre jeweiligen Portnummern eindeutig identifiziert.

Heute wird der Begriff „NAT“ häufig allgemein verwendet und schließt auch NAPT ein. Obwohl NAPT von Natur aus ein gewisses Maß an Netzwerkverschleierung bietet, indem es private Netzwerke vor externen Entitäten verbirgt, handelt es sich dabei nicht um eine völlig zuverlässige Sicherheitslösung. Um umfassende Sicherheitsbedrohungen wirksam zu bekämpfen, sind zusätzliche Tunneling- und End-to-End-Technologien erforderlich.