Qual è la differenza tra NAT e port forwarding?

NAT permette a molti dispositivi su una rete privata "interna" di condividere la connessione alle reti esterne e a internet attraverso un singolo dispositivo. Gli utenti domestici, per esempio, condividono la singola connessione a un ISP (come Comcast) attraverso un servizio NAT fornito dal modem/router fornito dall'ISP che si collega alla rete esterna (attraverso il cavo coassiale di Comcast TV). Ogni dispositivo nella tua casa, cablato o wireless, ha il suo indirizzo Ethernet e il suo indirizzo IP privato interno. Questo permette ai dispositivi di parlare tra loro, ma questi indirizzi IP privati non possono essere utilizzati per inviare dati al di fuori della tua casa. Il router fornisce un servizio "proxy" (Network Address Translation) per inoltrare le connessioni client da tutti i tuoi dispositivi interni attraverso l'unico vero indirizzo IP pubblico esterno che il router riceve dall'ISP. Per l'ISP e il mondo esterno, l'unico dispositivo visibile in casa tua con un vero indirizzo di rete è il router stesso, e ai dispositivi esterni sembra che il router sia la fonte di tutte le richieste client in uscita per pagine web, trasferimenti di file ed e-mail che sono in realtà generate dagli altri dispositivi in casa tua. Questi dispositivi inviano le richieste al router attraverso la rete privata interna, che poi le traduce e attribuisce come fonte l'unico indirizzo IP reale che possiede, e poi le invia all'ISP in modo che possano andare ovunque nel mondo.

L'inoltro delle porte è una caratteristica opzionale di un dispositivo che fornisce un servizio NAT che permette alle richieste dei client esterni per servizi specifici di passare dal mondo esterno, attraverso il router, a un dispositivo interno designato. Per esempio, supponiamo che tu abbia un gran numero di file multimediali memorizzati su un Plex Media Server e vuoi renderli disponibili al tuo telefono quando sei fuori casa. Al computer server Plex viene assegnato un indirizzo IP privato interno dal router, diciamo 192.168.1.10. Il "numero di porta" di default del protocollo del server Plex è 32400 (puoi cambiarlo e selezionare qualsiasi altro numero fino a 64K, ma è solo un numero che designa il servizio multimediale Plex da qualsiasi altro servizio sullo stesso computer o dispositivo. Con il port forwarding, si configura il router Comcast dicendo "se qualsiasi computer in qualsiasi parte del mondo cerca di connettersi a te sulla tua porta numero 32400, inoltra quella richiesta alla vera porta 32400 sul dispositivo interno con indirizzo IP 192.168.1.10.

Ai computer nel mondo esterno, sembra che il router Comcast sia il tuo server Plex. Quando i client Plex esterni si connettono all'unico indirizzo IP reale appartenente al router, vedono il comportamento del server Plex. Il server reale è, tuttavia, dietro il router e vi si accede perché il router inoltra la richiesta per la porta 32400 all'indirizzo privato interno del dispositivo server reale.

Quasi tutti i dispositivi che forniscono il servizio NAT permettono anche di configurare il Port Forwarding, ma non è necessario. La maggior parte degli utenti domestici non lo usa. Una configurazione alternativa è quella di designare uno dei computer di casa come dispositivo "DMZ", che dice al router di inoltrare tutte le richieste client in entrata per tutti i protocolli e servizi su tutte le porte a quel computer, ma che espone il computer designato ad attacchi esterni se ci sono vulnerabilità non patchate o zero-day nel suo sistema.