Mange brannmurer bruker en teknikk som kalles nettverksadressetranslation (NAT) for å skjule den faktiske IP-adressen til en vert fra omverdenen. Når det er tilfelle, må NAT-enheten bruke en globalt unik IP for å representere verten til Internett. Bak brannmuren kan verten imidlertid bruke en hvilken som helst IP-adresse den ønsker. Når pakker krysser brannmuren, oversetter NAT-enheten den private IP-adressen til den offentlige IP-adressen og omvendt.
En av fordelene med NAT er at den bidrar til å senke hastigheten der IP-adresseplassen er tildelt. Det skyldes at en NAT-enhet kan bruke en offentlig IP-adresse for flere enn én vert. Det gjør det ved å holde oversikt over utgående pakker slik at det kan matche innkommende pakker med riktig vert. For å forstå hvordan dette fungerer, bør du vurdere følgende trinns trinn:
-
En vert hvis private adresse er 192. 168. 1. 100 sender en forespørsel til 216. 239. 57. 99 , som skjer med Google. NAT-enheten endrer pakkens kilde-IP-adresse til 208. 23. 110. 22 , brannmurens IP-adresse. På den måten sender Google sitt svar tilbake til brannmurrouteren. NAT registrerer at 192. 168. 1. 100 sendte en forespørsel til 216. 239. 57. 99 .
-
Nå en annen vert, på adressen 192. 168. 1. 107 , sender en forespørsel til 207. 46. 134. 190 , som skjer med www. microsoft. no . NAT-enheten endrer kilden til denne forespørselen til 208. 23. 110. 22 slik at Microsoft vil svare på brannmurrouteren. NAT registrerer at 192. 168. 1. 107 sendte en forespørsel til 207. 46. 134. 190 .
-
Noen få sekunder senere mottar brannmuren et svar fra 216. 239. 57. 99 . Destinasjonsadressen i svaret er 208. 23. 110. 22 , adressen til brannmuren. For å bestemme hvem du skal videresende svaret, kontrollerer brannmuren sine poster for å se hvem som venter på svar fra 216. 239. 57. 99 . Det oppdager at 192. 168. 1. 100 venter på svaret, slik at det endrer destinasjonsadressen til 192. 168. 1. 100 og sender pakken på.
Faktisk er prosessen litt mer komplisert enn det, fordi det er svært sannsynlig at to eller flere brukere kan ha ventende forespørsler fra samme offentlige IP. I så fall bruker NAT-enheten andre teknikker for å finne ut hvilken bruker hver innkommende pakke skal leveres.