Tutorial de TCP/IP – Parte 20 – NAT – Network Address Translation

Introdução:

Prezados leitores, esta √© a vig√©sima e √ļltima parte, desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o m√≥dulo que eu classifiquei como Introdu√ß√£o ao TCP/IP. O objetivo deste m√≥dulo foi apresentar o TCP/IP, mostrar como √© o funcionamento dos servi√ßos b√°sicos, tais como endere√ßamente IP e Roteamento e fazer uma apresenta√ß√£o dos servi√ßos relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conex√£o Internet e NAT (assunto desta parte, ou seja Parte 20 do tutorial). No decorrer de 2004 ser√£o disponibilizados mais 20 tutoriais de TCP/IP (de 21 a 40), nas quais falarei mais sobre os asp√©ctos do protocolo em si, tais como a estrutura em camadas do TCP/IP e detalhes um maior detalhamento sobre cada um dos protocolos que formam o TCP/IP: TCP, IP, UDP, ARP, ICMP e por a√≠ vai.

Esta √© a vig√©sima parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos b√°sicos do protocolo TCP/IP. Na Parte 2 falei sobre c√°lculos bin√°rios, um importante t√≥pico para entender sobre redes, m√°scara de sub-rede e roteamento. Na Parte 3 falei sobre Classes de endere√ßos, na Parte 4 fiz uma introdu√ß√£o ao roteamento e na Parte 5 apresentei mais alguns exemplos/an√°lises de como funciona o roteamento e na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a divis√£o de uma rede em sub-redes, conceito conhecido como subnetting. Na Parte 8 fiz uma apresenta√ß√£o de um dos servi√ßos mais utilizados pelo TCP/IP, que √© o Domain Name System: DNS. O DNS √© o servi√ßo de resolu√ß√£o de nomes usado em todas as redes TCP/IP, inclusive pela Internet que, sem d√ļvidas, √© a maior rede TCP/IP existente. Na Parte 9 fiz uma introdu√ß√£o ao servi√ßo Dynamic Host Configuration Protocol ‚Äď DHCP. Na Parte 10 fiz uma introdu√ß√£o ao servi√ßo Windows Internet Name Services ‚Äď WINS. Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunica√ß√£o. Parte 12, mostrei como s√£o efetuadas as configura√ß√Ķes de portas em diversos aplicativos que voc√™ utiliza e os comandos do Windows 2000/XP/2003 utilizados para exibir informa√ß√Ķes sobre portas de comunica√ß√£o. Na Parte 13 falei sobre a instala√ß√£o e a configura√ß√£o do protocolo TCP/IP. Na Parte 14 fiz uma introdu√ß√£o sobre o protocolo de roteamento din√Ęmico RIP e na Parte 15 foi a vez de fazer a introdu√ß√£o a um outro protocolo de roteamento din√Ęmico, o OSPF. Na Parte 16 voc√™ aprendeu sobre um recurso bem √ļtil do Windows 2000: O compartilhamento da conex√£o Internet, oficialmente conhecida como ICS ‚Äď Internet Conection Sharing. Este recurso √© √ļtil quando voc√™ tem uma pequena rede, n√£o mais do que cinco m√°quinas, conectadas em rede, todas com o protocolo TCP/IP instalado e uma das m√°quinas tem conex√£o com a Internet. Voc√™ pode habilitar o ICS no computador que tem a conex√£o com a Internet. Na Parte 17, voc√™ aprendeu a utilizar o IFC ‚Äď Internet Firewall Connection (Firewall de Conex√£o com a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, n√£o estando dispon√≠vel no Windows 2000. O IFC tem como objetivo proteger o acesso do usu√°rio contra ‚Äúataques‚ÄĚ e ‚Äúperigos‚ÄĚ vindos da Internet. Na Parte 18 fiz uma apresenta√ß√£o sobre o protocolo IPSec. O IPSec faz parte do Windows 2000, Windows XP e Windows Server 2003. O IPSec pode ser utilizado para criar um canal de comunica√ß√£o seguro, onde todos os dados que s√£o trocados entre os computaodres habilitados ao IPSec, s√£o criptografados. Na Parte 19, fiz uma apresenta√ß√£o sobre o conceito de PKI ‚Äď Public Key Infrastructure e Certificados Digitais. O Windows 2000 Server e tamb√©m o Windows Server 2003 disponibilizam servi√ßos para a emiss√£o, gerenciamento e revoga√ß√£o de Certificados Digitais. Falei sobre o papel dos Certificados Digitais em rela√ß√£o √† seguran√ßa das informa√ß√Ķes.

Nesta vig√©sima parte ser√° a vez de falar um pouco mais sobre o servi√ßo (ou protocolo como preferem alguns) NAT ‚Äď Network Address Transaltion. Voc√™ entender√° o que √© o NAT e qual a sua fun√ß√£o na conex√£o de uma rede com a Internet.

Nota: Para aprender a instalar, configurar e a administrar os serviços relacionados ao TCP/IP, no Windows 2000 Server, tais como o DNS, DHCP, WINS, RRAS, Ipsec, NAT e assim por diante, o livro de minha autoria: Manual de Estudos Para o Exame 70-216, 712 páginas.
T= Network Address Translation. (NAT)

Entendendo como funciona o NAT

Vamos inicialmente entender exatamente qual a fun√ß√£o do NAT e em que situa√ß√Ķes ele √© indicado. O NAT surgiu como uma alternativa real para o problema de falta de endere√ßos IP v4 na Internet. Conforme descrito na Parte 1, cada computador que acessa a Internet deve ter o protocolo TCP/IP configurado. Para isso, cada computador da rede interna, precisaria de um endere√ßo IP v√°lido na Internet. N√£o haveria endere√ßos IP v4 suficientes. A cria√ß√£o do NAT veio para solucionar esta quest√£o.(ou pelo menos fornecer uma alternativa at√© que o IP v6 esteja em uso na maioria dos sistemas da Internet). Com o uso do NAT, os computadores da rede Interna, utilizam os chamados endere√ßos Privados. Os endere√ßos privados n√£o s√£o v√°lidos na Internet, isto √©, pacotes que tenham como origem ou como destino, um endere√ßo na faixa dos endere√ßos privados, n√£o ser√£o encaminhados, ser√£o descartados pelos roteadores. O software dos roteadores est√° configurado para descartar pacotes com origem ou destino dentro das faixas de endere√ßos IP privados. As faixas de endere√ßos privados s√£o definidas na RFC 1597 e est√£o indicados a seguir:

?  10.0.0.0 -> 10.255.255.255

?  172.16.0.0 -> 172.31.255.255

?  192.168.0.0 -> 192.168.255.255

Existem algumas quest√Ķes que devem estar surgindo na cabe√ßa do amigo leitor. Como por exemplo: Qual a vantagem do uso dos endere√ßos privados? O que isso tem a ver com o NAT? Muito bem, vamos esclarecer estas quest√Ķes.

Pelo fato de os endereços privados não poderem ser utilizados diretamente na Internet, isso permite que várias empresas utilizem a mesma faixa de endereços privados, como esquema de endereçamento da sua rede interna. Ou seja, qualquer empresa pode utilizar endereços na faixa 10.0.0.0 -> 10.255.255.255 ou na faixa 172.16.0.0 -> 72.31.255.255 ou na faixa 192.168.0.0 -> 192.168.255.255.

‚ÄúCom o uso do NAT, a empresa fornece acesso √† Internet para um grande n√ļmero de computadores da rede interna, usando um n√ļmero bem menor de endere√ßos IP, v√°lidos na Internet.‚ÄĚ

Por exemplo, uma rede com 100 computadores, usando um esquema de endere√ßamento 10.10.0.0/255.255.0.0, poder√° ter acesso √† Internet, usando o NAT, usando um √ļnico endere√ßo IP v√°lido: o endere√ßo IP da interface externa do NAT. Observe que com isso temos uma grande economia de endere√ßos IP: No nosso exemplo temos 100 computadores acessando a Internet (configurados com endere√ßos IP privados), os quais utilizam um √ļnico endere√ßo IP v√°lido, que √© o endere√ßo IP da interface externa do servidor configurado como NAT.

Muito bem, respondi as quest√Ķes anteriores mas agora devem ter surgido novas quest√Ķes na cabe√ßa do amigo leitor, como por exemplo:

1. Se houver mais de um cliente acessando a Internet ao mesmo tempo e o NAT possui apenas um endere√ßo IP v√°lido (ou em outras situa√ß√Ķes, se houver um n√ļmero maior de clientes internos acessando a Internet, do que o n√ļmero de endere√ßos IP dispon√≠veis no NAT. E o n√ļmero de endere√ßos IP, dispon√≠veis no NAT sempre ser√° menor do que o n√ļmero de computadores da rede interna, uma vez que um dos principais objetivos do uso do NAT √© reduzir a quantidade de n√ļmeros IP v√°lidos), como √© poss√≠vel a comunica√ß√£o de mais de um cliente, ao mesmo tempo, com a Internet?

2. Quando a resposta retorna, como o NAT sabe para qual cliente da rede interna ela se destina, se houver mais de um cliente acessando a Internet?

Inicialmente vamos observar que o esquema de endere√ßamento utilizado pela empresa do nosso exemplo (10.10.0.0/255.255.0.0) est√° dentro de uma faixa de endere√ßos Privados. Aqui est√° a principal fun√ß√£o do NAT, que √© o papel de ‚Äútraduzir‚ÄĚ os endere√ßos privados, os quais n√£o s√£o v√°lidos na Internet, para o endere√ßo v√°lido, da interface p√ļblica do servidor com o NAT.

Para entender exatamente o funcionamento do NAT, vamos considerar um exemplo prático. Imagine que você tem cinco computadores na rede, todos usando o NAT. Os computadores estão utilizando os seguintes endereços:

?  10.10.0.10

?  10.10.0.11

?  10.10.0.12

?  10.10.0.13

?  10.10.0.14

O computador com o NAT habilitado tem as seguintes configura√ß√Ķes:

?  IP da interface interna: 10.10.0.1

?  IP da interface externa: Um ou mais endere√ßos v√°lidos na Internet, obtidos a partir da conex√£o com o provedor de Internet, mas sempre em n√ļmero bem menor do que a quantidade de computadores da rede interna.

Quando um cliente acessa a Internet, no pacote de informação enviado por este cliente, está registrado o endereço IP da rede interna, por exemplo: 10.10.0.10. Porém este pacote não pode ser enviado pelo NAT para a Internet, com este endereço IP como endereço de origem, senão no primeiro roteador este pacote será descartado, já que o endereço 10.10.0.10 não é um endereço válido na Internet (pois é um endereço que pertence a uma das faixas de endereços privados, conforme descrito anteriormente). Para que este pacote possa ser enviado para a Internet, o NAT substitui o endereço IP de origem por um dos endereços IP da interface externa do NAT (endereço fornecido pelo provedor de Internet e, portanto, válido na Internet). Este processo que é chamado de tradução de endereços, ou seja, traduzir de um endereço IP interno, não válido na Internet, para um endereço IP externo, válido na Internet. Quando a resposta retorna, o NAT repassa a resposta para o cliente que originou o pedido.

Mas ainda fica a quest√£o de como o NAT sabe para qual cliente interno √© a resposta, se os pacotes de dois ou mais clientes podem ter sido traduzidos para o mesmo endere√ßo IP externo. A resposta para estas quest√£o √© a mesma. O NAT ao executar a fun√ß√£o de tradu√ß√£o de endere√ßos, associa um n√ļmero de porta, que √© √ļnico, com cada um dos computadores da rede interna. A tradu√ß√£o de endere√ßos funciona assim:

1. Quando um cliente interno tenta se comunicar com a Internet, o NAT substitui o endere√ßo interno do cliente como endere√ßo de origem, por um endere√ßo v√°lido na Internet. Mas al√©m do endere√ßo √© tamb√©m associada uma porta de comunica√ß√£o. Por exemplo, vamos supor que o computador 10.10.0.12 tenta acessar a Internet. O NAT substitui o endere√ßo 10.10.0.12 por um endere√ßo v√°lido na Internet, vou chutar um: 144.72.3.21. Mas al√©m do n√ļmero IP √© tamb√©m associada uma porta, como por exemplo: 144.72.3.21:6555. O NAT mant√©m uma tabela interna onde fica registrado que, comunica√ß√£o atrav√©s da porta ‚Äútal‚ÄĚ est√° relacionada com o cliente ‚Äútal‚ÄĚ. Por exemplo, a tabela do NAT, em um determinado momento, poderia ter o seguinte conte√ļdo:

?  144.72.3.21:6555 10.10.0.10

?  144.72.3.21:6556 10.10.0.11

?  144.72.3.21:6557 10.10.0.12

?  144.72.3.21:6558 10.10.0.13

?  144.72.3.21:6559 10.10.0.14

Observe que todos os endere√ßos da rede interna s√£o ‚Äútraduzidos‚ÄĚ para o mesmo endere√ßo externo, por√©m com um n√ļmero diferente de porta para cada cliente da rede interna.

2. Quando a resposta retorna, o NAT consulta a sua tabela interna e, pela identificação da porta, ele sabe para qual computador da rede interna deve ser enviada a referida resposta, uma vez que a porta de identificação está associada com um endereço IP da rede interna. Por exemplo, se chegar um pacote endereçado a 144.72.3.21:6557, ele sabe que este pacote deve ser enviado para o seguinte computador da rede interna: 10.10.0.12, conforme exemplo da tabela anterior. O NAT obtém esta informação a partir da tabela interna, descrita anteriormente.

Com isso, v√°rios computadores da rede interna, podem acessar a Internet, ao mesmo tempo, usando um √ļnico endere√ßo IP ou um n√ļmero de endere√ßos IP bem menor do que o n√ļmero de computadores da rede interna. A diferencia√ß√£o √© feita atrav√©s de uma atribui√ß√£o de porta de comunica√ß√£o diferente, associada com cada IP da rede interna. Este √© o princ√≠pio b√°sico do NAT ‚Äď Network Address Translation (Tradu√ß√£o de Endere√ßos IP).

Agora que você já sabe o princípio básico do funcionamento do NAT, vamos entender quais os componentes deste serviço no Windows 2000 Server e no Windows Server 2003.

Os componentes do NAT

O serviço NAT é composto, basicamente, pelos seguintes elementos:

?  Componente de tradu√ß√£o de endere√ßos: O NAT faz parte do servidor RRAS. Ou seja, para que voc√™ possa utilizar o servidor NAT, para fornecer conex√£o √† Internet para a rede da sua empresa, voc√™ deve ter um servidor com o RRAS instalado e habilitado (veja o Cap√≠tulo 6 do livro Manual de Estudos Para o Exame 70-216, para detalhes sobre a habilita√ß√£o do RRAS). O servidor onde est√° o RRAS deve ser o servidor conectado √† Internet. O componente de tradu√ß√£o de endere√ßos faz parte da funcionalidade do NAT e ser√° habilitado, assim que o NAT for configurado no RRAS.

?  Componente de endere√ßamento: Este componente atua como um servidor DHCP simplificado, o qual √© utilizado para concess√£o de endere√ßos IP para os computadores da rede interna. Al√©m do endere√ßo IP, o servidor DHCP simplificado √© capaz de configurar os clientes com informa√ß√Ķes tais como a m√°scara de sub-rede, o n√ļmero IP do gateway padr√£o (default gateway) e o n√ļmero IP do servidor DNS. Os clientes da rede interna devem ser configurados como clientes DHCP, ou seja, nas propriedades do TCP/IP, voc√™ deve habilitar a op√ß√£o para que o cliente obtenha um endere√ßo IP automaticamente. Computadores executando o Windows Server 2003 (qualquer edi√ß√£o), Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98 ou Windows 95, s√£o automaticamente configurados como clientes DHCP. Caso um destes clientes tenha sido configurado para usar um IP fixo, dever√° ser reconfigurado para cliente DHCP, para que ele possa utilizar o NAT.

?  Componente de resolu√ß√£o de nomes: O computador no qual o NAT √© habilitado, tamb√©m desempenha o papel de um servidor DNS, o qual √© utilizado pelos computadores da rede interna. Quando uma consulta para resolu√ß√£o de nomes √© enviada por um cliente interno, para o computador com o NAT habilitado, o computador com o NAT repassa esta consulta para um servidor DNS da Internet (normalmente o servidor DNS do provedor de Internet) e retorna a resposta obtida para o cliente. Esta funcionalidade √© id√™ntica ao papel de DNS Proxy, fornecida pelo ICS, conforme descrito anteriormente.

Importante: Como o NAT inclui as funcionalidades de endere√ßamento e resolu√ß√£o de nomes, voc√™ ter√° as seguintes limita√ß√Ķes para o uso de outros servi√ßos, no mesmo servidor onde o NAT foi habilitado:

?  Voc√™ n√£o poder√° executar o servidor DHCP ou o DHCP Relay Agent no servidor NAT.

?  Voc√™ n√£o poder√° executar o servidor DNS no servidor NAT.

Um pouco de planejamento antes de habilitar o NAT

Antes de habilitar o NAT no servidor RRAS, para fornecer conex√£o √† Internet para os demais computadores da rede, existem alguns fatores que voc√™ deve levar em considera√ß√£o. Neste item descrevo as considera√ß√Ķes que devem ser feitas, antes da habilita√ß√£o do NAT. Estes fatos ajudam a evitar futuros problemas e necessidade de reconfigura√ß√Ķes no NAT.

1. Utilize endereços privados para os computadores da rede interna.

Esta √© a primeira e √≥bvia recomenda√ß√£o. Para o esquema de endere√ßamento da rede interna, voc√™ deve utilizar uma faixa de endere√ßos, dentro de uma das faixas de endere√ßos privados: 10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou 192.168.0.0/255.255.0.0. Voc√™ pode utilizar diferentes m√°scaras de sub-rede, de acordo com as necessidades da sua rede. Por exemplo, se voc√™ tiver uma rede com 100 m√°quinas, pode utilizar um esquema de endere√ßamento: 10.10.10.0/255.255.255.0, o qual disponibiliza at√© 254 endere√ßos. Por padr√£o, o NAT utiliza o esquema de endere√ßamento 192.168.0.0/255.255.255.0. Por√©m √© poss√≠vel alterar este esquema de endere√ßamento, nas configura√ß√Ķes do NAT. Lembre-se que, uma vez habilitado o NAT, este passa a atuar como um servidor DHCP para a rede interna, fornecendo as configura√ß√Ķes do TCP/IP para os clientes da rede interna. Com isso, nas configura√ß√Ķes do NAT (para todos os detalhes sobre as configura√ß√Ķes do NAT, consulte o Cap√≠tulo 7 do livro Manual de Estudos Para o Exame 70-216), voc√™ define o escopo de endere√ßos que ser√° fornecido para os clientes da rede.

Nota: Voc√™ tamb√©m poderia configurar a sua rede interna com uma faixa de endere√ßos IP v√°lidos, por√©m n√£o alocados diretamente para a sua empresa. Ou seja, voc√™ estaria utilizando na rede interna, um esquema de endere√ßamento que foi reservado para uso de outra empresa. Esta n√£o √© uma configura√ß√£o recomendada e √© conhecida como: ‚Äúillegal or overlapping IP addressing‚ÄĚ. O resultado pr√°tico √© que, mesmo assim, voc√™ conseguir√° usar o NAT para acessar a Internet, por√©m n√£o conseguir√° acessar os recursos da rede para o qual o esquema de endere√ßamento foi oficialmente alocado. Por exemplo, se voc√™ resolveu usar o esquema de endere√ßamento 1.0.0.0/255.0.0.0, sem se preocupar em saber para quem esta faixa de endere√ßos foi reservado. Mesmo assim voc√™ conseguir√° acessar a Internet usando o NAT, voc√™ apenas n√£o conseguir√° acessar os recursos e servidores da empresa que usa, oficialmente, o esquema de endere√ßamento 1.0.0.0/255.0.0.0, que voc√™ resolveu utilizar para a rede interna da sua empresa.

Ao configurar o NAT, o administrador poder√° excluir faixas de endere√ßos que n√£o devem ser fornecidas para os clientes. Por exemplo, se voc√™ tiver alguns equipamentos da rede interna (impressoras, hubs, switchs, etc) que devam ter um n√ļmero IP fixo, voc√™ pode excluir uma faixa de endere√ßos IP no servidor NAT e utilizar estes endere√ßos para configurar os equipamentos que, por algum motivo, precisam de um IP fixo.

2. Usar um ou mais endere√ßos IP p√ļblicos.

Se voc√™ estiver utilizando um √ļnico endere√ßo IP, fornecido pelo provedor de Internet, n√£o ser√£o necess√°rias configura√ß√Ķes adicionais no NAT. Por√©m se voc√™ obt√©m dois ou mais endere√ßos IP p√ļblicos, voc√™ ter√° que configurar a interface externa do NAT (interface ligada a Internet), com a faixa de endere√ßos p√ļblicos, fornecidos pelo provedor de Internet. A faixa √© informada no formato padr√£o: N√ļmero IP/M√°scara de sub-rede. Pode existir situa√ß√Ķes em que nem todos os n√ļmeros fornecidos pelo provedor possam ser informados usando esta representa√ß√£o. Nestas situa√ß√Ķes pode acontecer de voc√™ n√£o poder utilizar todos os endere√ßos disponibilizados pelo provedor de Internet, a n√£o ser que voc√™ utilize a representa√ß√£o por faixas, conforme descrito mais adiante.

Se o n√ļmero de endere√ßos fornecido for uma pot√™ncia de 2 (2, 4, 8, 16, 32, 64 e assim por diante), √© mais prov√°vel que voc√™ consiga representar a faixa de endere√ßos no formato N√ļmero IP/M√°scara de sub-rede. Por exemplo, se voc√™ recebeu quatro endere√ßos IP p√ļblicos: 206.73.118.212, 206.73.118.213, 206.73.118.214 e 206.73.118.215. Esta faixa pode ser representada da seguinte maneira: 206.73.118.212/255.255.255.252.

Nota: Para maiores detalhes sobre a representação de faixas de endereços IP e máscaras de sub-rede, consulte as seguintes partes deste tutorial: Parte 1, Parte 2, Parte 3 e Parte 4.

Caso n√£o seja poss√≠vel fazer a representa√ß√£o no formato N√ļmero IP/M√°scara de sub-rede, voc√™ pode informar os endere√ßos p√ļblicos como uma s√©rie de faixas de endere√ßos, conforme exemplo a seguir:

?  206.73.118.213 -> 206.73.118.218

?  206.73.118.222 -> 206.73.118.240

3. Permitir conex√Ķes da Internet para a rede interna da empresa

O funcionamento normal do NAT, permite que sejam feitas conex√Ķes da rede privada para recursos na Internet. Por exemplo, um cliente da rede acessando um servidor de ftp na Internet. Neste caso, o cliente executando um programa cliente de ftp, faz a conex√£o com um servidor ftp da Internet. Quando os pacotes de resposta chegam no NAT, eles podem ser repassados ao cliente, pois representam a resposta a uma conex√£o iniciada internamente e n√£o uma tentativa de acesso vinda da Internet.

Voc√™ pode querer fornecer acesso a um servidor da rede interna, para usu√°rios da Internet. Por exemplo, voc√™ pode configurar um servidor da rede interna com o IIS e instalar neste servidor o site da empresa. Em seguida voc√™ ter√° que configurar o NAT, para que os usu√°rios da Internet possam acessar este servidor da rede interna. Observe que nesta situa√ß√£o, chegar√£o pacotes da Internet, os quais n√£o representar√£o respostas a requisi√ß√Ķes dos clientes da rede interna, mas sim requisi√ß√Ķes de acesso dos usu√°rios da Internet, a um servidor da rede interna. Por padr√£o este tr√°fego ser√° bloqueado no NAT. Por√©m o administrador pode configurar o NAT para aceitar requisi√ß√Ķes vindas de clientes da Internet, para um servidor da rede interna. Para fazer estas configura√ß√Ķes voc√™ deve seguir os seguintes passos:

Para permitir que usu√°rios da Internet, acessem recursos na sua rede interna, siga os passos indicados a seguir:

?  O servidor da rede interna, que dever√° ser acessado atrav√©s da Internet, deve ser configurado com um n√ļmero IP fixo (n√ļmero que fa√ßa parte da faixa de endere√ßos fornecidos pelo NAT, para uso da rede interna) e com o n√ļmero IP do default gateway e do servidor DNS (o n√ļmero IP da interface interna do computador com o NAT habilitado).

?  Excluir o endere√ßo IP utilizado pelo servidor da rede Interna (servidor que estar√° acess√≠vel para clientes da Internet) da faixa de endere√ßos fornecidos pelo NAT, para que este endere√ßo n√£o seja alocado dinamicamente para um outro computador da rede, o que iria gerar um conflito de endere√ßos IP na rede interna.

?  Configurar uma porta especial no NAT. Uma porta especial √© um mapeamento est√°tico de um endere√ßo p√ļblico e um n√ļmero de porta, para um endere√ßo privado e um n√ļmero de porta. Esta porta especial faz o mapeamento das conex√Ķes chegadas da internet para um endere√ßo espec√≠fico da rede interna. Com o uso de portas especiais, por exemplo, voc√™ pode criar um servidor HTTP ou FTP na rede interna e torn√°-lo acess√≠vel a partir da Internet.

Nota: Para aprender os passos práticos para a criação de portas especiais no NAT, consulte o Capítulo 7 do livro: Manual de Estudos Para o Exame 70-216.

4. Configurando aplica√ß√Ķes e servi√ßos.

Algumas aplica√ß√Ķes podem exigir configura√ß√Ķes especiais no NAT, normalmente com a habilita√ß√£o de determinadas portas. Por exemplo, vamos supor que voc√™ est√° usando o NAT para conectar 10 computadores de uma loja de jogos, com a Internet. Pode ser necess√°ria a habilita√ß√£o das portas utilizadas por determinados jogos, para que estes possam ser executados atrav√©s do NAT. Se estas configura√ß√Ķes n√£o forem feitas, o NAT ir√° bloquear pacotes que utilizem estas portas e os respectivos jogos n√£o poder√£o ser acessados.

5. Conex√Ķes VPN iniciadas a partir da rede interna.

No Windows 2000 Server n√£o √© poss√≠vel criar conex√Ķes VPN L2TP/IPSec, a partir de uma rede que utilize o NAT. Esta limita√ß√£o foi superada no Windows Server 2003.

Muito bem, de teoria sobre NAT é isso.

Conclus√£o

Nesta parte do tutorial fiz uma breve apresenta√ß√£o sobre o servi√ßo de tradu√ß√£o de endere√ßos ‚Äď NAT ‚Äď Network Address Translation. Esta foi a vig√©sima e √ļltima parte, desta primeira etapa dos tutoriais de TCP/IP. As partes de 01 a 20, constituem o m√≥dulo que eu classifiquei como Introdu√ß√£o ao TCP/IP. O objetivo deste m√≥dulo foi apresentar o TCP/IP, mostrar como √© o funcionamento dos servi√ßos b√°sicos, tais como endere√ßamente IP e Roteamento e fazer uma apresenta√ß√£o dos servi√ßos relacionados ao TCP/IP, tais como DNS, DHCP, WINS, RRAS, IPSec, Certificados Digitais, ICS, compartilhamento da conex√£o Internet e NAT (assunto desta parte, ou seja Parte 20 do tutorial). No decorrer de 2004 ser√£o disponibilizados mais 20 tutoriais de TCP/IP (de 21 a 40), nas quais falarei mais sobre os asp√©ctos do protocolo em si, tais como a estrutura em camadas do TCP/IP e detalhes um maior detalhamento sobre cada um dos protocolos que formam o TCP/IP: TCP, IP, UDP, ARP, ICMP e por a√≠ vai.