Network Address Translation (NAT).

NAT отображает внутренние частные IP-адреса в публичные адреса, используемые в Интернете, и обратно. Традиционный NAT и связанная с ним терминология описаны в RFC 3022 и RFC 2663. Самый распространённый вариант — PAT (также называемый NAT overload) — мультиплексирует тысячи внутренних узлов за одним публичным адресом, дополнительно переписывая исходные порты и ведя таблицу трансляций с ключом по 5-кортежу. NAT был введён прежде всего для замедления исчерпания IPv4-адресов, но он также скрывает внутреннюю топологию и по умолчанию блокирует нежелательный входящий трафик, обеспечивая слабую, но полезную скрытность.

NAT сам по себе не является границей безопасности. Он усложняет протоколы, встраивающие адреса в свою полезную нагрузку (SIP, FTP, IPsec), поэтому маршрутизаторы поставляются с Application Level Gateways (ALGs), которые переписывают эти полезные нагрузки. Атака NAT Slipstreaming Сэми Камкара (Samy Kamkar) 2020 года (CVE-2020-28041) использовала именно это: вредоносный JavaScript на веб-странице обманывал браузер жертвы, заставляя его отправлять подготовленные пакеты, которые SIP ALG маршрутизатора неверно интерпретировал, открывая входящий pinhole к любому внутреннему порту. Chrome (v87.0.4280.141) и Firefox (v85) выпустили патчи, блокирующие злоупотребляемые порты, а позднее исследователи Armis опубликовали обход v2.0.

Защита: отключайте ненужные ALGs, сочетайте NAT с настоящим stateful-файрволом и помните, что NAT теряет значение в IPv6, где каждый узел может иметь глобально маршрутизируемый адрес.

flowchart LR
  subgraph LAN [Private network]
    H1[192.168.1.10:51000]
    H2[192.168.1.11:51001]
  end
  H1 --> N[NAT router<br/>translation table]
  H2 --> N
  N -->|src 203.0.113.5:40001| I[Internet]
  N -->|src 203.0.113.5:40002| I