Windows Server 2003: Routing und Firewall

NAT-Funktionsweise

Alle Anfragen vom LAN ins Internet laufen über das private Interface des NAT-Servers, denn das befindet sich ja ebenfalls im Subnetz des LAN. Der Rechner merkt sich die (lokale) IP-Adresse sowie den Quellport des anfragenden Rechners und schickt die Anfrage weiter ins Internet.

Dazu verwendet er aber nicht die ursprüngliche Adresse, sondern die öffentliche Adresse des öffentlichen Interface: Die Anfrage wird also von der einen Schnittstelle auf die andere Schnittstelle geroutet. Dabei wird die IP-Adresse von der lokalen in eine öffentliche übersetzt und ein neuer Quellport vergeben.

Kommt die Antwort auf die Anfrage zurück, landet diese Antwort logischerweise wieder auf dem öffentlichen Interface. Der NAT-Rechner sucht anhand der Antwort die ursprüngliche Anfrage aus seinen Tabellen heraus und setzt das Paket entsprechend wieder so auf die lokale IP-Adresse um, dass der Client das Paket als Antwort auf seine ursprüngliche Anfrage interpretieren kann. Somit funktioniert dieser Mechanismus auch, wenn mehrere Rechner gleichzeitig auf denselben Server im Internet zugreifen.

Dieser Mechanismus führt also dazu, dass die Workstations im LAN einen gemeinsamen Internet-Zugang verwenden können, obwohl insgesamt nur eine öffentliche IP-Adresse zur Verfügung steht.