Introduzione al NAT: cos'è e come funziona?

Mauro Scalante
Può 16, 2023
11:57
Non ci sono commenti

La Network Address Translation (NAT), in sostanza, è un meccanismo vitale nel mondo delle reti. Innanzitutto, consente a più dispositivi di condividere un singolo indirizzo IP pubblico. Inoltre, migliora la sicurezza e gestisce in modo efficace la carenza di indirizzi IPv4.

Alla fine dell'articolo troverai un piccolo test quello ti permetterà valutare le conoscenze acquisite in questa lettura

Vai a Prova

Palco principale

Immagina un ufficio con diversi dipendenti che utilizzano dispositivi connessi a Internet. Senza NAT, ogni dispositivo richiederebbe il proprio indirizzo IP pubblico. Al contrario, grazie al NAT, tutti i dispositivi possono condividere un unico indirizzo IP pubblico, salvando indirizzi IP e semplificando la gestione della rete.

Tipi di indirizzi IP

Per capire come funziona, è importante conoscere le tipologie di indirizzi IP coinvolti nel processo.

Innanzitutto ci sono gli indirizzi IP privati, assegnati a ciascun dispositivo all'interno della rete interna.
In secondo luogo, ci sono gli indirizzi IP pubblici, utilizzati per comunicare con dispositivi esterni su Internet.

NAT funge da intermediario, traducendo gli indirizzi IP privati in indirizzi IP pubblici e viceversa.

Esempio per illustrare il processo

Supponiamo che un dipendente desideri accedere a una pagina Web dal proprio computer.

Il computer invia una richiesta con il suo indirizzo IP privato come origine.
Il NAT, ricevuta la richiesta, la traduce, sostituendo l'indirizzo IP privato con l'indirizzo IP pubblico assegnato al router.
In questo modo la richiesta giunge al server web che ha come mittente l'indirizzo IP pubblico.
Quando il server risponde, la risposta viene inviata all'indirizzo IP pubblico.
NAT, ancora una volta, entra in azione e traduce l'indirizzo IP pubblico nel corrispondente indirizzo IP privato, consentendo al computer di ricevere la risposta.

È fondamentale notare che esistono diversi tipi di NAT:

NAT statico
NAT dinamico
Traduzione dell'indirizzo del porto (PAT).

Ognuno di essi ha le sue caratteristiche e applicazioni specifiche.

Ad esempio, la NAT statico assegna un indirizzo IP pubblico univoco a ciascun indirizzo IP privato, mentre il NAT dinamico utilizza un pool di indirizzi IP pubblici assegnati a rotazione.

A sua volta, la PAT consente a più dispositivi di condividere un singolo indirizzo IP pubblico traducendo i numeri di porta anziché gli indirizzi IP.

In sintesi

Consentendo a più dispositivi di condividere un unico indirizzo IP pubblico, ottimizzi l'uso degli indirizzi IPv4 e migliori la sicurezza delle reti interne.

Inoltre, la sua capacità di tradurre indirizzi IP privati in indirizzi IP pubblici e viceversa facilita la comunicazione tra dispositivi interni ed esterni, garantendo così un'esperienza utente fluida ed efficiente.

Come implementare NAT con MikroTik RouterOS

Successivamente, spiegheremo in dettaglio come implementare NAT su un dispositivo MikroTik utilizzando RouterOS.

1.- Accedi all'interfaccia RouterOS

Per prima cosa devi accedere all'interfaccia di amministrazione del tuo dispositivo MikroTik. Puoi farlo utilizzando lo strumento grafico “Winbox” in Windows o tramite l'interfaccia web.

2.- Passare alla configurazione NAT

Una volta all'interno dell'interfaccia RouterOS, vai alla sezione “IP” nel menu principale e seleziona “Firewall”. Qui troverai diverse schede, tra cui “NAT”.

3.- Aggiungi una nuova regola NAT

Fare clic sul pulsante "Aggiungi" (simboleggiato da un segno "+") per creare una nuova regola NAT. Si aprirà una finestra di configurazione in cui è possibile definire le proprietà della regola.

4.- Definire la catena e l'azione

Nella finestra di configurazione della regola, seleziona la catena appropriata, che è "srcnat" per il NAT di origine o "dstnat" per il NAT di destinazione. Successivamente, scegli l'azione che desideri eseguire, ad esempio "masquerade" per il NAT di origine o "dst-nat" (traduzione dell'indirizzo di destinazione) per il NAT di destinazione.

5.- Stabilire le condizioni della regola

In questa fase è necessario specificare le condizioni alle quali verrà applicata la regola NAT. Ad esempio, se desideri applicare il NAT di origine per il traffico in uscita dalla tua rete interna verso Internet, puoi configurare l'opzione "Out. Interface" come interfaccia WAN e l'"Indirizzo" nel file "Src. Indirizzo” come intervallo di indirizzi IP privati sulla rete interna.

6.- Configurare la traduzione dell'indirizzo e della porta

Se stai configurando il NAT di destinazione, devi specificare come devono essere tradotti gli indirizzi IP e i numeri di porta. Nella scheda "Azione", seleziona "dst-nat" come azione, quindi imposta "Agli indirizzi" e "Alle porte" come necessario.

7.- Salva e applica la regola

Una volta configurati tutti i parametri necessari, fare clic su "OK" per salvare la regola. La nuova regola NAT verrà visualizzata nell'elenco delle regole nella scheda "NAT" del firewall.

8.- Verificare e monitorare la regola

Per assicurarti che la regola NAT funzioni correttamente, controlla il traffico che passa attraverso la regola e rivedi le statistiche fornite da RouterOS. Se necessario, modifica le impostazioni della regola per migliorarne le prestazioni o risolvere i problemi.

Configurazione su un router MikroTik con la riga di comando

Ecco un esempio di come configurare il NAT sorgente (masquerade) su un dispositivo MikroTik utilizzando la riga di comando. Questa configurazione consente ai dispositivi della rete interna di accedere a Internet utilizzando l'indirizzo IP pubblico assegnato al router MikroTik.

Supponiamo che l'interfaccia WAN (connessione Internet) sia "ether1" e l'intervallo di indirizzi IP privati della rete interna sia "192.168.1.0/24". La configurazione NAT di origine (masquerade) sarebbe simile alla seguente:

				
					# Ingresa al terminal del router MikroTik
[admin@MikroTik] > 

# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN

# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP dinámica)
[admin@MikroTik] > ip dhcp-client add interface=WAN disabled=no

# Configura la dirección IP en la interfaz LAN (la interfaz que se conecta a la red interna)
[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=LAN

# Agrega la regla de NAT de origen (masquerade) para el tráfico que sale de la red interna hacia Internet
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

Questo esempio consiste nel configurare il NAT di destinazione (dst-nat) su un dispositivo MikroTik utilizzando la riga di comando. Questa configurazione consente agli utenti Internet di accedere a un server Web interno (ad esempio, 192.168.1.100) sulla porta 80 tramite l'indirizzo IP pubblico del router MikroTik.

Supponiamo che l'interfaccia WAN sia "ether1" e l'indirizzo IP pubblico assegnato al router MikroTik sia "203.0.113.2". La configurazione NAT di destinazione sarebbe simile alla seguente:

				
					# Ingresa al terminal del router MikroTik
[admin@MikroTik] > 

# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN

# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP estática)
[admin@MikroTik] > ip address add address=203.0.113.2/24 interface=WAN

# Agrega la regla de NAT de destino (dst-nat) para el tráfico que ingresa desde Internet hacia el servidor web interno
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=203.0.113.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80

Questi esempi di configurazione sono applicabili se utilizzi la riga di comando in RouterOS. Puoi tuttavia applicare queste impostazioni anche utilizzando lo strumento grafico “Winbox” o l'interfaccia web, seguendo i passaggi sopra menzionati.