Skip to content

Was ist NAT, und wie unterscheidet sich PAT davon?

Kurzantwort

NAT (Network Address Translation) schreibt die Quell- und/oder Ziel-IP um, während Pakete eine Grenze überqueren, und bildet typischerweise private interne Adressen auf öffentliche ab. PAT (Port Address Translation oder NAT Overload) erweitert dies, indem es auch Ports übersetzt, sodass viele interne Hosts sich eine einzige öffentliche IP teilen — jeder Fluss durch seinen Port unterschieden. PAT ist das, was Heim- und Büro-Router nutzen, um ein ganzes LAN hinter eine Adresse zu setzen.

NAT existiert vor allem, weil die IPv4-Adressen knapp wurden: es gibt nicht genug öffentliche Adressen für jedes Gerät, daher nutzen Organisationen intern private Bereiche und übersetzen am Rand in öffentliche Adressen. Die Unterscheidung NAT/PAT zu kennen, zeigt, dass Sie verstehen, wie reale Netze das Internet erreichen.

Einfaches NAT

Network Address Translation schreibt IP-Adressen in Paket-Headern um, während sie einen Router oder eine Firewall überqueren. Statisches NAT bildet eine private Adresse auf eine öffentliche ab (nützlich für einen Server, der erreichbar sein muss). Dynamisches NAT bildet einen Pool privater Adressen auf einen Pool öffentlicher ab. In beiden Fällen ist die Übersetzung IP-zu-IP.

PAT (NAT Overload)

Port Address Translation ist die Variante, die fast jeder tatsächlich nutzt. Sie bildet viele interne Hosts auf eine einzige öffentliche IP ab, indem sie auch den Quellport übersetzt. Das NAT-Gerät führt eine Übersetzungstabelle, die nach der Kombination aus interner IP, internem Port und einem eindeutigen externen Port indiziert ist. Rückverkehr wird mithilfe dieser Tabelle dem richtigen Host wieder zugeordnet. So surft ein ganzes Heimnetz über eine einzige vom Provider zugewiesene Adresse im Web.

Sicherheits-Nebenwirkungen

NAT wird mitunter als Sicherheit aus Versehen bezeichnet: da eingehende Verbindungen standardmäßig keine Zuordnung haben, sind Hosts hinter PAT von außen nicht direkt erreichbar. Das ist eine nützliche Nebenwirkung, keine Firewall — es bietet keine Inspektion und keine Richtlinie, und sobald ein Host ausgehenden Verkehr startet, ist der Rückweg offen. Um einen internen Dienst absichtlich zu exponieren, konfigurieren Sie Portweiterleitung (eine statische eingehende Zuordnung). NAT bricht auch Protokolle, die IPs in ihrer Nutzlast einbetten (SIP, FTP), und erfordert ALGs, um sie zu korrigieren.

Interviewer erwarten die Unterscheidung nur-IP vs. IP+Port, dass PAT das ist, was sich eine öffentliche IP teilt, und den Vorbehalt, dass NAT keine Sicherheitskontrolle ist.

Wahrscheinliche Anschlussfragen

  • Warum wird NAT oft als „Sicherheit aus Versehen“ statt als echte Kontrolle beschrieben?
  • Wie lässt Portweiterleitung eine eingehende Verbindung einen Host hinter NAT erreichen?
  • Welche Probleme schafft NAT für Protokolle wie SIP oder für Ende-zu-Ende-Konnektivität?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.