PAT
PAT (Port Address Translation) ist ein Verfahren zur Adressübersetzung in IP-Netzwerken, das die gleichzeitige Nutzung einer einzigen öffentlichen IP-Adresse durch viele Geräte ermöglicht. Im Gegensatz zur einfachen Network Address Translation (NAT), die nur IP-Adressen übersetzt, verwendet PAT zusätzlich die Portnummern der Transportschicht (TCP/UDP), um Verbindungen eindeutig zu unterscheiden. Dieses Verfahren wird auch als NAPT (Network Address Port Translation) oder NAT Overload bezeichnet und ist in RFC 3022 standardisiert.
PAT ist heute die am weitesten verbreitete Form der Adressübersetzung. Praktisch jeder Heimrouter und die meisten Unternehmens-Firewalls nutzen PAT, um den begrenzten IPv4-Adressraum effizient zu nutzen. Ohne PAT würde jedes Gerät in deinem Heimnetzwerk eine eigene öffentliche IP-Adresse benötigen.
Funktionsweise von PAT
Bei PAT ersetzt der Router nicht nur die private IP-Adresse durch seine öffentliche IP-Adresse, sondern ordnet jeder Verbindung auch einen eindeutigen Quellport zu. Diese Kombination aus IP-Adresse und Portnummer bildet ein sogenanntes Socket, das jede Verbindung eindeutig identifiziert. Der Router führt eine Übersetzungstabelle (NAT-Tabelle), in der er alle aktiven Verbindungen mit ihren ursprünglichen und übersetzten Adressen und Ports speichert.
Ablauf einer PAT-Übersetzung
Der Übersetzungsprozess läuft in mehreren Schritten ab. Wenn ein Gerät aus dem internen Netzwerk eine Verbindung zum Internet aufbaut, greift PAT ein und modifiziert das ausgehende Datenpaket:
- Ausgehende Anfrage: Ein internes Gerät (z.B.
192.168.1.10:52000) sendet eine Anfrage an einen Webserver im Internet - Adressübersetzung: Der Router ersetzt die Quelladresse durch seine öffentliche IP (z.B.
203.0.113.1) und weist einen neuen Quellport zu (z.B.:40001) - Tabelleneintrag: Der Router speichert die Zuordnung:
192.168.1.10:52000↔203.0.113.1:40001 - Antwort empfangen: Der Webserver antwortet an
203.0.113.1:40001 - Rückübersetzung: Der Router schlägt in seiner Tabelle nach und leitet die Antwort an
192.168.1.10:52000weiter
Praxisbeispiel
Stell dir vor, drei Geräte in deinem Heimnetzwerk greifen gleichzeitig auf verschiedene Webseiten zu. Ohne PAT würde der Router nicht wissen, welche Antwort zu welchem Gerät gehört. Mit PAT sieht das so aus:
| Internes Gerät | Interne Adresse | Externe Adresse (nach PAT) | Ziel |
|---|---|---|---|
| Laptop | 192.168.1.10:52000 | 203.0.113.1:40001 | google.de:443 |
| Smartphone | 192.168.1.11:48500 | 203.0.113.1:40002 | youtube.com:443 |
| Smart-TV | 192.168.1.12:55000 | 203.0.113.1:40003 | netflix.com:443 |
Alle drei Geräte teilen sich die öffentliche IP-Adresse 203.0.113.1. Der Router unterscheidet die Verbindungen anhand der zugewiesenen externen Ports (40001, 40002, 40003). Wenn Netflix eine Antwort an Port 40003 schickt, weiß der Router, dass diese zum Smart-TV gehört.
Unterschied zwischen PAT und NAT
Die Begriffe NAT und PAT werden oft synonym verwendet, bezeichnen aber technisch unterschiedliche Verfahren. Der grundlegende Unterschied liegt in der Art der Übersetzung und der Anzahl der möglichen gleichzeitigen Verbindungen:
| Merkmal | NAT (Basic NAT) | PAT (NAPT) |
|---|---|---|
| Übersetzt | Nur IP-Adressen | IP-Adressen + Ports |
| Mapping | 1:1 (eine interne zu einer externen IP) | N:1 (viele interne zu einer externen IP) |
| Öffentliche IPs benötigt | Eine pro internem Gerät | Eine für viele Geräte |
| Max. gleichzeitige Verbindungen | Begrenzt durch verfügbare IPs | Bis zu ~65.000 pro IP (Portbereich) |
| Typischer Einsatz | Server-Hosting, spezielle Dienste | Heimnetzwerke, Unternehmen |
Basic NAT ordnet jeder internen IP-Adresse eine eigene öffentliche IP-Adresse zu. Das ist praktisch für Server, die von außen erreichbar sein müssen, aber ineffizient für normale Netzwerke mit vielen Clients. PAT hingegen nutzt die Portadressen als zusätzliche Unterscheidungsebene und ermöglicht so das Multiplexen vieler Verbindungen über eine einzige öffentliche IP.
Fazit: In der Praxis ist PAT die Standardmethode für Internetzugang in Heim- und Unternehmensnetzwerken. Wenn von "NAT" gesprochen wird, ist meistens PAT gemeint. Basic NAT wird nur in speziellen Szenarien eingesetzt, etwa wenn ein Server eine feste öffentliche IP benötigt.
Vorteile von PAT
PAT bietet mehrere wichtige Vorteile, die es zur bevorzugten Methode für die Adressübersetzung machen:
- IPv4-Adresskonservierung: Hunderte oder tausende Geräte können eine einzige öffentliche IP-Adresse teilen
- Kostenersparnis: Unternehmen benötigen weniger öffentliche IP-Adressen vom Provider
- Grundlegende Sicherheit: Interne IP-Adressen sind von außen nicht sichtbar, was die Angriffsfläche reduziert
- Einfache Verwaltung: Geräte können dem Netzwerk hinzugefügt werden, ohne zusätzliche öffentliche IPs zu beantragen
- Flexibilität: Interne Netzwerkstruktur kann geändert werden, ohne die externe Kommunikation zu beeinflussen
Einschränkungen und Herausforderungen
Trotz seiner weiten Verbreitung hat PAT auch Nachteile, die du bei der Netzwerkplanung berücksichtigen solltest:
- Ende-zu-Ende-Prinzip: PAT bricht das ursprüngliche Internet-Designprinzip, dass jedes Gerät direkt erreichbar sein sollte
- Eingehende Verbindungen: Ohne zusätzliche Konfiguration (Port-Forwarding) können externe Geräte keine Verbindungen zu internen Hosts initiieren
- Protokollkompatibilität: Einige Protokolle (z.B. FTP im aktiven Modus, SIP) haben Probleme mit PAT, da sie IP-Adressen in den Nutzdaten übertragen
- Porterschöpfung: Bei sehr vielen gleichzeitigen Verbindungen können die verfügbaren Ports knapp werden
- Logging und Forensik: Die Zuordnung von Verbindungen zu internen Geräten erfordert NAT-Logs
PAT in der Praxis
PAT begegnet dir in fast jedem Netzwerk. Dein Heimrouter nutzt PAT, um alle Geräte in deinem Haushalt mit dem Internet zu verbinden. Auch in Unternehmen ist PAT Standard, oft in Kombination mit Firewalls und Proxy-Servern.
Wer als Fachinformatiker für Systemintegration arbeitet, konfiguriert regelmäßig PAT-Regeln auf Routern und Firewalls. Das Verständnis der PAT-Funktionsweise ist auch wichtig für die Fehlersuche bei Verbindungsproblemen und für die Planung von Netzwerkarchitekturen.
Quellen und weiterführende Links
- RFC 3022: Traditional IP Network Address Translator - IETF-Standard für NAT und NAPT
- Cisco NAT Configuration Guide - Offizielle Cisco-Dokumentation
- Juniper NAPT Documentation - Juniper Networks Dokumentation
- NAT vs PAT Comparison - GeeksforGeeks Erklärung