Tutorial de TCP/IP Parte 20 NAT Network Address Translation

Introduo:
Prezados leitores, esta a vigsima e ltima parte, desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o mdulo que eu classifiquei como Introduo ao TCP/IP. O objetivo deste mdulo foi apresentar o TCP/IP, mostrar como o funcionamento dos servios bsicos, tais como endereamente IP e Roteamento e fazer uma apresentao dos servios relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexo Internet e NAT (assunto desta parte, ou seja Parte 20 do tutorial). No decorrer de 2004 sero disponibilizados mais 20 tutoriais de TCP/IP (de 21 a 40), nas quais falarei mais sobre os aspctos do protocolo em si, tais como a estrutura em camadas do TCP/IP e detalhes um maior detalhamento sobre cada um dos protocolos que formam o TCP/IP: TCP, IP, UDP, ARP, ICMP e por a vai. Esta a vigsima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos bsicos do protocolo TCP/IP. Na Parte 2 falei sobre clculos binrios, um importante tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte 5 apresentei mais alguns exemplos/anlises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente. Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP. Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao. Parte 12, mostrei como so efetuadas as configuraes de portas em diversos aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro protocolo de roteamento dinmico, o OSPF. Na Parte 16 voc aprendeu sobre um recurso bem til do Windows 2000: O compartilhamento da conexo Internet, oficialmente conhecida como ICS Internet Conection Sharing. Este recurso til quando voc tem uma pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc pode habilitar o ICS no computador que tem a conexo com a Internet. Na Parte 17, voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando disponvel no Windows 2000. O IFC tem como objetivo proteger o acesso do usurio contra ataques e perigos vindos da Internet. Na Parte 18 fiz uma apresentao sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal de comunicao seguro, onde todos os dados que so trocados entre os computaodres habilitados ao IPSec, so criptografados. Na Parte 19, fiz uma apresentao sobre o conceito de PKI Public Key Infrastructure e Certificados Digitais. O Windows 2000 Server e tambm o Windows Server 2003 disponibilizam servios para a emisso, gerenciamento e revogao de Certificados Digitais. Falei sobre o papel dos Certificados Digitais em relao segurana das informaes. Nesta vigsima parte ser a vez de falar um pouco mais sobre o servio (ou protocolo como preferem alguns) NAT Network Address Transaltion. Voc entender o que o NAT e qual a sua funo na conexo de uma rede com a Internet. Nota: Para aprender a instalar, configurar e a administrar os servios relacionados ao TCP/IP, no Windows 2000 Server, tais como o DNS, DHCP, WINS, RRAS, Ipsec, NAT e assim por diante, o livro de minha autoria: Manual de Estudos Para o Exame 70-216, 712 pginas. T= Network Address Translation. (NAT)

Entendendo como funciona o NAT

Vamos inicialmente entender exatamente qual a funo do NAT e em que situaes ele indicado. O NAT surgiu como uma alternativa real para o problema de falta de endereos IP v4 na Internet. Conforme descrito na Parte 1, cada computador que acessa a Internet deve ter o protocolo TCP/IP configurado. Para isso, cada computador da rede interna, precisaria de um endereo IP vlido na Internet. No haveria endereos IP v4 suficientes. A criao do NAT veio para solucionar esta questo.(ou pelo menos fornecer uma alternativa at que o IP v6 esteja em uso na maioria dos sistemas da Internet). Com o uso do NAT, os computadores da rede Interna, utilizam os chamados endereos Privados. Os endereos privados no so vlidos na Internet, isto , pacotes que tenham como origem ou como destino, um endereo na faixa dos endereos privados, no sero encaminhados, sero descartados pelos roteadores. O software dos roteadores est configurado para descartar pacotes com origem ou destino dentro das faixas de endereos IP privados. As faixas de endereos privados so definidas na RFC 1597 e esto indicados a seguir: 10.0.0.0 -> 10.255.255.255 172.16.0.0 -> 172.31.255.255 192.168.0.0 -> 192.168.255.255 Existem algumas questes que devem estar surgindo na cabea do amigo leitor. Como por exemplo: Qual a vantagem do uso dos endereos privados? O que isso tem a ver com o NAT? Muito bem, vamos esclarecer estas questes. Pelo fato de os endereos privados no poderem ser utilizados diretamente na Internet, isso permite que vrias empresas utilizem a mesma faixa de endereos privados, como esquema de endereamento da sua rede interna. Ou seja, qualquer empresa pode utilizar endereos na faixa 10.0.0.0 -> 10.255.255.255 ou na faixa 172.16.0.0 -> 72.31.255.255 ou na faixa 192.168.0.0 -> 192.168.255.255. Com o uso do NAT, a empresa fornece acesso Internet para um grande nmero de computadores da rede interna, usando um nmero bem menor de endereos IP, vlidos na Internet. Por exemplo, uma rede com 100 computadores, usando um esquema de endereamento 10.10.0.0/255.255.0.0, poder ter acesso Internet, usando o NAT, usando um nico endereo IP vlido: o endereo IP da interface externa do NAT. Observe que com isso temos uma grande economia de endereos IP: No nosso exemplo temos 100 computadores acessando a Internet (configurados com endereos IP privados), os quais utilizam um nico endereo IP vlido, que o endereo IP da interface externa do servidor

configurado como NAT. Muito bem, respondi as questes anteriores mas agora devem ter surgido novas questes na cabea do amigo leitor, como por exemplo: 1. Se houver mais de um cliente acessando a Internet ao mesmo tempo e o NAT possui apenas um endereo IP vlido (ou em outras situaes, se houver um nmero maior de clientes internos acessando a Internet, do que o nmero de endereos IP disponveis no NAT. E o nmero de endereos IP, disponveis no NAT sempre ser menor do que o nmero de computadores da rede interna, uma vez que um dos principais objetivos do uso do NAT reduzir a quantidade de nmeros IP vlidos), como possvel a comunicao de mais de um cliente, ao mesmo tempo, com a Internet? 2. Quando a resposta retorna, como o NAT sabe para qual cliente da rede interna ela se destina, se houver mais de um cliente acessando a Internet? Inicialmente vamos observar que o esquema de endereamento utilizado pela empresa do nosso exemplo (10.10.0.0/255.255.0.0) est dentro de uma faixa de endereos Privados. Aqui est a principal funo do NAT, que o papel de traduzir os endereos privados, os quais no so vlidos na Internet, para o endereo vlido, da interface pblica do servidor com o NAT. Para entender exatamente o funcionamento do NAT, vamos considerar um exemplo prtico. Imagine que voc tem cinco computadores na rede, todos usando o NAT. Os computadores esto utilizando os seguintes endereos: 10.10.0.10 10.10.0.11 10.10.0.12 10.10.0.13 10.10.0.14 O computador com o NAT habilitado tem as seguintes configuraes: IP da interface interna: 10.10.0.1 IP da interface externa: Um ou mais endereos vlidos na Internet, obtidos a partir da conexo com o provedor de Internet, mas sempre em nmero bem menor do que a quantidade de computadores da rede interna. Quando um cliente acessa a Internet, no pacote de informao enviado por este cliente, est registrado o endereo IP da rede interna, por exemplo: 10.10.0.10. Porm este pacote no pode ser enviado pelo NAT para a Internet, com este endereo IP como endereo de origem, seno no primeiro roteador este pacote ser descartado, j que o endereo 10.10.0.10 no um endereo vlido na Internet (pois um endereo que pertence a uma das faixas de endereos privados, conforme descrito anteriormente). Para que este pacote possa ser enviado para a Internet, o NAT substitui o endereo IP de origem por um dos endereos IP da interface externa do NAT (endereo fornecido pelo provedor de Internet e, portanto, vlido na Internet). Este processo que chamado de traduo de endereos, ou seja, traduzir de um endereo IP interno, no vlido na Internet, para um endereo IP externo, vlido na Internet. Quando a resposta retorna, o NAT repassa a resposta para o cliente que originou o pedido. Mas ainda fica a questo de como o NAT sabe para qual cliente interno a resposta, se os pacotes de dois ou mais clientes podem ter sido traduzidos para o mesmo endereo IP externo. A resposta para estas questo a mesma. O NAT ao executar a funo de traduo de endereos, associa um nmero de porta, que nico, com cada um dos computadores da rede interna. A traduo de endereos funciona assim: 1. Quando um cliente interno tenta se comunicar com a Internet, o NAT substitui o endereo interno do cliente como endereo de origem, por um endereo vlido na Internet. Mas alm do endereo tambm associada uma porta de comunicao. Por exemplo, vamos supor que o computador 10.10.0.12 tenta acessar a Internet. O NAT substitui o endereo 10.10.0.12 por um endereo vlido na Internet, vou chutar um: 144.72.3.21. Mas alm do nmero IP tambm associada uma porta, como por exemplo: 144.72.3.21:6555. O NAT mantm uma tabela interna onde fica registrado que, comunicao atravs da porta tal est relacionada com o cliente tal. Por exemplo, a tabela do NAT, em um determinado momento, poderia ter o seguinte contedo: 144.72.3.21:6555 10.10.0.10 144.72.3.21:6556 10.10.0.11 144.72.3.21:6557 10.10.0.12 144.72.3.21:6558 10.10.0.13 144.72.3.21:6559 10.10.0.14

Observe que todos os endereos da rede interna so traduzidos para o mesmo endereo externo, porm com um nmero diferente de porta para cada cliente da rede interna. 2. Quando a resposta retorna, o NAT consulta a sua tabela interna e, pela identificao da porta, ele sabe para qual computador da rede interna deve ser enviada a referida resposta, uma vez que a porta de identificao est associada com um endereo IP da rede interna. Por exemplo, se chegar um pacote endereado a 144.72.3.21:6557, ele sabe que este pacote deve ser enviado para o seguinte computador da rede interna: 10.10.0.12, conforme exemplo da tabela anterior. O NAT obtm esta informao a partir da tabela interna, descrita anteriormente. Com isso, vrios computadores da rede interna, podem acessar a Internet, ao mesmo tempo, usando um nico endereo IP ou um nmero de endereos IP bem menor do que o nmero de computadores da rede interna. A diferenciao feita atravs de uma atribuio de porta de comunicao diferente, associada com cada IP da rede interna. Este o princpio bsico do NAT Network Address Translation (Traduo de Endereos IP). Agora que voc j sabe o princpio bsico do funcionamento do NAT, vamos entender quais os componentes deste servio no Windows 2000 Server e no Windows Server 2003.

Os componentes do NAT
O servio NAT composto, basicamente, pelos seguintes elementos: Componente de traduo de endereos: O NAT faz parte do servidor RRAS. Ou seja, para que voc possa utilizar o servidor NAT, para fornecer conexo Internet para a rede da sua empresa, voc deve ter um servidor com o RRAS instalado e habilitado (veja o Captulo 6 do livro Manual de Estudos Para o Exame 70-216, para detalhes sobre a habilitao do RRAS). O servidor onde est o RRAS deve ser o servidor conectado Internet. O componente de traduo de endereos faz parte da funcionalidade do NAT e ser habilitado, assim que o NAT for configurado no RRAS. Componente de endereamento: Este componente atua como um servidor DHCP simplificado, o qual utilizado para concesso de endereos IP para os computadores da rede interna. Alm do endereo IP, o servidor DHCP simplificado capaz de configurar os clientes com informaes tais como a mscara de sub-rede, o nmero IP do gateway padro (default gateway) e o nmero IP do servidor DNS. Os clientes da rede interna devem ser configurados como clientes DHCP, ou seja, nas propriedades do TCP/IP, voc deve habilitar a opo para que o cliente obtenha um endereo IP automaticamente. Computadores executando o Windows Server 2003 (qualquer edio), Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98 ou Windows 95, so automaticamente configurados como clientes DHCP. Caso um destes clientes tenha sido configurado para usar um IP fixo, dever ser reconfigurado para cliente DHCP, para que ele possa utilizar o NAT. Componente de resoluo de nomes: O computador no qual o NAT habilitado, tambm desempenha o papel de um servidor DNS, o qual utilizado pelos computadores da rede interna. Quando uma consulta para resoluo de nomes enviada por um cliente interno, para o computador com o NAT habilitado, o computador com o NAT repassa esta consulta para um servidor DNS da Internet (normalmente o servidor DNS do provedor de Internet) e retorna a resposta obtida para o cliente. Esta funcionalidade idntica ao papel de DNS Proxy, fornecida pelo ICS, conforme descrito anteriormente. Importante: Como o NAT inclui as funcionalidades de endereamento e resoluo de nomes, voc ter as seguintes limitaes para o uso de outros servios, no mesmo servidor onde o NAT foi habilitado: Voc no poder executar o servidor DHCP ou o DHCP Relay Agent no servidor NAT. Voc no poder executar o servidor DNS no servidor NAT.

Um pouco de planejamento antes de habilitar o NAT

Antes de habilitar o NAT no servidor RRAS, para fornecer conexo Internet para os demais computadores da rede, existem alguns fatores que voc deve levar em considerao. Neste item descrevo as consideraes que devem ser feitas, antes da habilitao do NAT. Estes fatos ajudam a evitar futuros problemas e necessidade de reconfiguraes no NAT. 1. Utilize endereos privados para os computadores da rede interna. Esta a primeira e bvia recomendao. Para o esquema de endereamento da rede interna, voc deve utilizar uma faixa de endereos, dentro de uma das faixas de endereos privados: 10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou 192.168.0.0/255.255.0.0. Voc pode utilizar diferentes mscaras de sub-rede, de acordo com as necessidades da sua rede. Por exemplo, se voc tiver uma rede com 100 mquinas, pode utilizar um esquema de endereamento: 10.10.10.0/255.255.255.0, o qual disponibiliza at 254 endereos. Por padro, o NAT utiliza o esquema de endereamento 192.168.0.0/255.255.255.0. Porm possvel alterar este esquema de endereamento, nas configuraes do NAT. Lembre-se que, uma vez habilitado o NAT, este passa a atuar como um servidor DHCP para a rede interna, fornecendo as configuraes do TCP/IP para os clientes da rede interna. Com isso, nas configuraes do NAT (para todos os detalhes sobre as configuraes do NAT, consulte o Captulo 7 do livro Manual de Estudos Para o Exame 70-216), voc define o escopo de endereos que ser fornecido para os clientes da rede. Nota: Voc tambm poderia configurar a sua rede interna com uma faixa de endereos IP vlidos, porm no alocados diretamente para a sua empresa. Ou seja, voc estaria utilizando na rede interna, um esquema de endereamento que foi reservado para uso de outra empresa. Esta no uma configurao recomendada e conhecida como: illegal or overlapping IP addressing. O resultado prtico que, mesmo assim, voc conseguir usar o NAT para acessar a Internet, porm no conseguir acessar os recursos da rede para o qual o esquema de endereamento foi oficialmente alocado. Por exemplo, se voc resolveu usar o esquema de endereamento 1.0.0.0/255.0.0.0, sem se preocupar em saber para quem esta faixa de endereos foi reservado. Mesmo assim voc conseguir

acessar a Internet usando o NAT, voc apenas no conseguir acessar os recursos e servidores da empresa que usa, oficialmente, o esquema de endereamento 1.0.0.0/255.0.0.0, que voc resolveu utilizar para a rede interna da sua empresa. Ao configurar o NAT, o administrador poder excluir faixas de endereos que no devem ser fornecidas para os clientes. Por exemplo, se voc tiver alguns equipamentos da rede interna (impressoras, hubs, switchs, etc) que devam ter um nmero IP fixo, voc pode excluir uma faixa de endereos IP no servidor NAT e utilizar estes endereos para configurar os equipamentos que, por algum motivo, precisam de um IP fixo. 2. Usar um ou mais endereos IP pblicos. Se voc estiver utilizando um nico endereo IP, fornecido pelo provedor de Internet, no sero necessrias configuraes adicionais no NAT. Porm se voc obtm dois ou mais endereos IP pblicos, voc ter que configurar a interface externa do NAT (interface ligada a Internet), com a faixa de endereos pblicos, fornecidos pelo provedor de Internet. A faixa informada no formato padro: Nmero IP/Mscara de sub-rede. Pode existir situaes em que nem todos os nmeros fornecidos pelo provedor possam ser informados usando esta representao. Nestas situaes pode acontecer de voc no poder utilizar todos os endereos disponibilizados pelo provedor de Internet, a no ser que voc utilize a representao por faixas, conforme descrito mais adiante. Se o nmero de endereos fornecido for uma potncia de 2 (2, 4, 8, 16, 32, 64 e assim por diante), mais provvel que voc consiga representar a faixa de endereos no formato Nmero IP/Mscara de sub-rede. Por exemplo, se voc recebeu quatro endereos IP pblicos: 206.73.118.212, 206.73.118.213, 206.73.118.214 e 206.73.118.215. Esta faixa pode ser representada da seguinte maneira: 206.73.118.212/255.255.255.252. Nota: Para maiores detalhes sobre a representao de faixas de endereos IP e mscaras de sub-rede, consulte as seguintes partes deste tutorial: Parte 1, Parte 2, Parte 3 e Parte 4. Caso no seja possvel fazer a representao no formato Nmero IP/Mscara de sub-rede, voc pode informar os endereos pblicos como uma srie de faixas de endereos, conforme exemplo a seguir: 206.73.118.213 -> 206.73.118.218 206.73.118.222 -> 206.73.118.240 3. Permitir conexes da Internet para a rede interna da empresa O funcionamento normal do NAT, permite que sejam feitas conexes da rede privada para recursos na Internet. Por exemplo, um cliente da rede acessando um servidor de ftp na Internet. Neste caso, o cliente executando um programa cliente de ftp, faz a conexo com um servidor ftp da Internet. Quando os pacotes de resposta chegam no NAT, eles podem ser repassados ao cliente, pois representam a resposta a uma conexo iniciada internamente e no uma tentativa de acesso vinda da Internet. Voc pode querer fornecer acesso a um servidor da rede interna, para usurios da Internet. Por exemplo, voc pode configurar um servidor da rede interna com o IIS e instalar neste servidor o site da empresa. Em seguida voc ter que configurar o NAT, para que os usurios da Internet possam acessar este servidor da rede interna. Observe que nesta situao, chegaro pacotes da Internet, os quais no representaro respostas a requisies dos clientes da rede interna, mas sim requisies de acesso dos usurios da Internet, a um servidor da rede interna. Por padro este trfego ser bloqueado no NAT. Porm o administrador pode configurar o NAT para aceitar requisies vindas de clientes da Internet, para um servidor da rede interna. Para fazer estas configuraes voc deve seguir os seguintes passos: Para permitir que usurios da Internet, acessem recursos na sua rede interna, siga os passos indicados a seguir: O servidor da rede interna, que dever ser acessado atravs da Internet, deve ser configurado com um nmero IP fixo (nmero que faa parte da faixa de endereos fornecidos pelo NAT, para uso da rede interna) e com o nmero IP do default gateway e do servidor DNS (o nmero IP da interface interna do computador com o NAT habilitado). Excluir o endereo IP utilizado pelo servidor da rede Interna (servidor que estar acessvel para clientes da Internet) da faixa de endereos fornecidos pelo NAT, para que este endereo no seja alocado dinamicamente para um outro computador da rede, o que iria gerar um conflito de endereos IP na rede interna. Configurar uma porta especial no NAT. Uma porta especial um mapeamento esttico de um endereo pblico e um nmero de porta, para um endereo privado e um nmero de porta. Esta porta especial faz o mapeamento das conexes chegadas da internet para um endereo especfico da rede interna. Com o uso de portas especiais, por exemplo, voc pode criar um servidor HTTP ou FTP na rede interna e torn-lo acessvel a partir da Internet. Nota: Para aprender os passos prticos para a criao de portas especiais no NAT, consulte o Captulo 7 do livro: Manual de Estudos Para o Exame 70-216. 4. Configurando aplicaes e servios. Algumas aplicaes podem exigir configuraes especiais no NAT, normalmente com a habilitao de determinadas portas. Por exemplo, vamos supor que voc est usando o NAT para conectar 10 computadores de uma loja de jogos, com a Internet. Pode ser necessria a habilitao das portas utilizadas por determinados jogos, para que estes possam ser executados atravs do NAT. Se estas configuraes no forem feitas, o NAT ir bloquear pacotes que utilizem estas portas e os respectivos jogos no podero ser acessados. 5. Conexes VPN iniciadas a partir da rede interna.

No Windows 2000 Server no possvel criar conexes VPN L2TP/IPSec, a partir de uma rede que utilize o NAT. Esta limitao foi superada no Windows Server 2003. Muito bem, de teoria sobre NAT isso.

Concluso
Nesta parte do tutorial fiz uma breve apresentao sobre o servio de traduo de endereos NAT Network Address Translation. Esta foi a vigsima e ltima parte, desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o mdulo que eu classifiquei como Introduo ao TCP/IP. O objetivo deste mdulo foi apresentar o TCP/IP, mostrar como o funcionamento dos servios bsicos, tais como endereamente IP e Roteamento e fazer uma apresentao dos servios relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conexo Internet e NAT (assunto desta parte, ou seja Parte 20 do tutorial). No decorrer de 2004 sero disponibilizados mais 20 tutoriais de TCP/IP (de 21 a 40), nas quais falarei mais sobre os aspctos do protocolo em si, tais como a estrutura em camadas do TCP/IP e detalhes um maior detalhamento sobre cada um dos protocolos que formam o TCP/IP: TCP, IP, UDP, ARP, ICMP e por a vai.