NAT Mascarada
A NAT Mascarada é utilizada para permitir que a rede privada seja ocultada, bem como representada, pelo endereço ligado à interface pública. Em muitas situações, este é o endereço atribuído pelo Fornecedor de Serviços da Internet (ISP) e o referido endereço pode ser dinâmico, no caso de uma ligação efetuada por intermédio do Point-to-Point Protocol (PPP). Este tipo de conversão apenas pode ser utilizado em ligações originadas na rede privada e destinadas à rede pública externa. Cada ligação de envio é mantida através da utilização de um número da porta de IP de origem diferente.
A NAT Mascarada permite que as estações de trabalho com endereços de IP privados comuniquem com sistemas centrais na Internet através do servidor iSeries AS/400. O servidor iSeries AS/400 possui um endereço de IP atribuído pelo ISP local como respectiva porta de ligação à Internet. A expressão máquina ligada localmente é utilizada para referir todas as máquinas de uma rede interna, independentemente do método de ligação (LAN ou WAN) e da distância da ligação. A expressão máquinas externas é utilizada para referir as máquinas localizadas na Internet. A imagem seguinte ilustra a forma como a NAT Mascarada funciona.
Para a Internet, todas as estações de trabalho parecem estar contidas no servidor iSeries AS/400; ou seja, apenas um endereço de IP está associado tanto ao iSeries AS/400 como às estações de trabalho. Quando um encaminhador recebe um pacote dirigido à estação de trabalho, procura determinar qual o endereço da LAN interna que deve recebê-lo e envia-o para lá.
Cada estação de trabalho deve ser configurada por forma a que o servidor iSeries AS/400 seja a respectiva porta de ligação e também o respectivo destino assumido. A correspondência entre uma determinada ligação de comunicação (porta) e uma estação de trabalho é configurada quando uma das estações de trabalho envia um pacote ao servidor iSeries AS/400 para que seja enviado para a Internet. A função NAT mascarada guarda o número da porta, por forma a que quando receba respostas para o pacote da estação de trabalho dessa ligação, possa enviar a resposta para a estação de trabalho certa.
Um registo das ligações de porta ativas e do último tempo de acesso de ambos os extremos da ligação é criado e mantido pela NAT mascarada. Estes registos são periodicamente limpos de todas as ligações que ficam inativas durante um período de tempo predeterminado, com base no pressuposto de que uma ligação que está inativa já não está a ser utilizada.
Todas as comunicações entre a estação de trabalho e a Internet devem ser iniciadas por máquinas ligadas localmente. Esta é uma firewall de segurança eficaz; a Internet ignora a existência das estações de trabalho e não consegue difundir os endereços através da Internet.
O ponto chave para a implementação da NAT mascarada é a utilização de portas lógicas, emitidas pela NAT mascarada para distinguir entre as várias sequências de comunicação. O TCP contém um número da porta de origem e um número da porta de destino. A estas designações, a NAT adiciona um número da porta lógica.
Processamento da NAT mascarada de envio:
A mensagem de envio da imagem acima é um pacote enviado da LAN privada para a Internet. Uma mensagem de envio (da rede local para a externa) contém a porta de origem utilizada pela estação de trabalho de origem. A NAT guarda este número e substitui-o no cabeçalho de transporte por um número da porta lógica exclusivo. Para datagramas de envio, o número da porta de origem é o número da porta local.
1. O processamento da NAT mascarada de envio parte do pressuposto de que todos os pacotes IP que recebe são destinados a endereços de IP externos e, por isso, não efetua uma verificação para determinar se um pacote deve ser encaminhado localmente.
2. O conjunto de números da porta lógica procura um correspondente no nível de transporte, bem como no endereço de IP de origem e na porta de origem. Se encontrar, o número da porta lógica correspondente é substituído pela porta de origem. Se não for encontrado um número da porta correspondente, é criado um novo e um novo número da porta lógica é selecionado e substituído pela porta de origem.
3. O endereço de IP de origem é convertido.
4. O pacote é depois processado, como habitualmente, pelo IP e enviado para o sistema externo correto.
Processamento da NAT mascarada de recepção (resposta e outras):
A mensagem de recepção da imagem acima é um pacote enviado da Internet para a LAN privada. Para datagramas de recepção, o número da porta de destino é o número da porta local. (Para mensagens de recepção, o número da porta de origem é o número da porta externa. Para mensagens de envio, o número da porta de destino é o número da porta externa.)
As mensagens de resposta vindas da Internet destinadas a uma máquina ligada localmente possuem um número da porta lógica atribuído pela máscara como número da porta de destino no cabeçalho do nível de transporte. Os passos do processamento de recepção da NAT mascarada são:
1. A NAT mascarada procura na respectiva base de dados este número da porta lógica (porta de origem). Se não for encontrado, presume-se que o pacote é um pacote não solicitado, sendo devolvido, inalterado, ao programa de chamada. Então, é tratado como um destino desconhecido normal.
2. Se for encontrado um número da porta lógica correspondente, é efetuada uma nova verificação para determinar se o endereço de IP de origem corresponde ao endereço de IP de destino da entrada da tabela do número da porta lógica existente. Se corresponder, o número da porta original da máquina local substitui a porta de origem no cabeçalho IP. Se a verificação falhar, o pacote é enviado de volta, inalterado.
3. Os endereços de IP locais correspondentes são colocados no destino do pacote IP.
4. O pacote é depois processado, como habitualmente, pelo IP ou pelo TCP, e vai parar à máquina ligada localmente correta. Como a NAT mascarada exige um número da porta lógica para determinar os endereços das portas de origem e de destino corretos, não é capaz de tratar os datagramas não solicitados