NAT eli osoitteenmuunnos on Internet-tekniikka, jossa julkisesti liikennöityjä IP-osoitteita piilotetaan tai säästetään. Osoitteenmuunnos kehitettiin alun perin, kun huomattiin, että tulevaisuudessa IP-osoitteita ei riittäisi joka koneelle omaansa.

Useimmiten osoitteenmuunnosta käytetään, kun Internet-yhteydellä ei ole kuin yksi IP-osoite, mutta useamman koneen tulisi päästä Internetiin. Kaikessa Internetiin lähetetyssä liikenteessä pitää olla julkinen, uniikki IP-osoite, jolloin tässä tapauksessa usean koneen pitää jakaa yksi osoite. Tämä onnistuu erilaisia osoitteenmuunnostekniikoita käyttäen.

Osoitteenmuunnoksen suorittava laite on useimmiten reititin tai palomuuri.

Osoitteenmuutoksesta käytetään ainakin englanninkielisiä termejä network address translation (NAT), network address port translation (NAPT), port/address translation (PAT) ja dynamic network address / port translation (DNAPT). Nämä termit ovat enemmän tai vähemmän laitevalmistajien ristiriitaisesti käyttämiä termejä omien tuotteidensa ominaisuuksille.

Osoitteenmuunnoksen tyyppejä
Käytännössä osoitteenmuunnosta on neljää eri tyyppiä:

Staattinen osoitteenmuunnos (static NAT): reitittimelle on konfiguroitu X kpl IP-osoitteita, jotka vastaavat Y kpl sisäverkossa käytettyjä osoitteita. Sisäverkon ja ulkoverkon osoitteilla on selkeä yhteys.

Dynaaminen osoitteenmuunnos (dynamic NAT): reitittimelle on konfiguroitu X kpl IP-osoitteita, joita otetaan käyttöön sisäverkon osoitteille sitä mukaa, kun tarvetta syntyy. Sisäverkosta voi siis olla ulkoverkkoon kerralla yhteyksiä korkeintaan X kpl koneelta, mutta sisäverkon osoitteiden määrä voi olla suurempikin.

Sisäverkon osoite - ulkoverkon osoite
192.168.1.17 - 193.65.76.2
192.168.1.22 - 193.65.76.3
192.168.1.29 - 193.65.76.4
..


Porttimuunnos (PAT): reitittimelle on konfiguroitu 1 - X kpl IP-osoitteita, joiden portteja käytetään yksittäisille yhteyksille sitä mukaa, kun tarvetta syntyy. Koska jokaisella IP-osoitteella on noin 65 535 tähän tarkoitukseen käytettävää porttia, voi jokaista julkista IP-osoitetta kohti olla auki lähes yhtä monta yhteyttä.
Tosielämässä porttimuunnoksessa ei siis tarvita kuin yksi IP-osoite, minkä takaa voi liikennöidä tuhansia koneita.

Sisäverkon osoite - sisäverkon portti - ulkoverkon osoite - ulkoverkon portti
192.168.1.1 - 1111 - 193.65.76.1 - 1025
192.168.1.1 - 1112 - 193.65.76.1 - 1026
192.168.1.2 - 2001 - 193.65.76.1 - 1027
192.168.1.1 - 1113 - 193.65.76.1 - 1028
..


Käänteinen osoitteenmuunnos: osoitteenmuunnosta ei tehdä ulospäin lähtevien yhteyksien lähdeosoitteille vaan päinvastoin, sisäänpäin tulevien yhteyksien kohdeosoitteille. Käänteistä osoitteenmuunnosta käytetään useimmiten kuormanjaon tekemiseen, eli yhdelle IP-osoitteelle sisään tulevien yhteyksien jakamiseen vaikkapa 10 sisäverkon palvelimen kesken.

Käytännössä
Lähes jokainen yritys käyttää dynaamista osoitteenmuunnosta ja/tai porttimuunnosta verkossaan jo tietoturvan takia ja IP-osoitesuunnittelun helpottamiseksi. Tavallinen porttimuunnoskonfiguraatio estää jo teknisesti sisään tulevat yhteydet ja palomuuraa yritysverkon täten ulkomaailmalta.


Tuotteet
Käytännössä kaikki halvimmatkin kotipalomuurit osaavat tehdä porttimuunnoksen. Tällöin minkä tahansa Internet-liittymän taakse saa useita koneita. Yrityskäytössä taas lähes mikä tahansa reunareititin osaa nykyään osoitemuunnoksen eri muodot. Esimerkiksi kuormanjakoratkaisun rakentaminen ei ole reitittimen yksinkertaista konfigurointia vaikeampaa.

Cisco PIX on esimerkki hienostuneesta palomuurista, jonka ydinominaisuuksiin kuuluu kehittynyt osoitteenmuunnos. Sille määritetään IP-osoitteiden alue, josta se ottaa osoitteita dynaamisella osoitteenmuunnoksella käyttöön. Mikäli osoitteet loppuvat kesken, alkaa palomuuri tehdä porttimuunnosta.


Ongelmia
Osoitemuunnos ja porttimuunnos aiheuttavat valtavasti ongelmia erilaisten kaksisuuntaisten sovellusten vuoksi. Monet käyttäjäsovellukset vaikuttaisivat toimivan ainoastaan käyttäjältä palvelimelle päin, mutta tosiasiassa myös palvelin ottaa yhteyksiä käyttäjälle päin.

Klassinen esimerkki on FTP. Kun käyttäjä vaikkapa pyytää FTP-yhteydellä tiedostoa, ei palvelin käytä yhteyttä sen lähettämiseen vaan avaa erillisen, uuden yhteyden asiakkaalle ja lähettää tiedoston sitä pitkin. Julkisilla IP-osoitteilla tämä tietysti onnistuu loistavasti (mikäli välissä ei ole palomuuria), mutta porttimuunnoksessa FTP-palvelin ottaa yhteyttä porttimuunnosta suorittavaan reitittimeen eli ulkoverkon osoitteeseen, josta se uskoo yhteyden tulevan. Muita porttimuunnoksen ja/tai osoitemuunnoksen rikkomia sovelluksia ovat H.323 ja muut puheprotokollat, jotkut verkkopelit ja IPsec.

IPsec-protokollaan on kehitetty valmistajakohtaisia muutoksia, jolla se saadaan ujutettua osoitemuunnoksesta huolimatta läpi. FTP:ssä puolestaan on passiivinen tila, jolla yhteydenavaus muodostetaan päinvastaiseen suuntaan.

Yleisesti ottaen tuki osoitemuunnoksen muuten rikkomille protokollille on useimmiten osoitemuunnosta tekevissä laitteissa toteutettu erillisinä lisäominaisuuksina. Reititin voi esimerkiksi erityisesti tarkkailla FTP-yhteyttä ja uuden yhteyden havaitessaan lennossa muuttaa osoitemuunnosta tekevän laitteen taulukoita niin, että yhteys ohjataan sen oikealle vastaanottajalle.