Jeder, der in einem privaten Netzwerk mit einer privaten IP-Adresse steckt und über einen Router oder meinetwegen die Internetverbindungsfreigabe (ICS) surft, pingt, saugt, mailt nutzt NETWORKADRESSTRANSLATING (NAT).

Jeder, der auf einem Rechner einen Server/Service bereitstellen will aber wegen der privaten Internetadresse nicht erreichbar ist, der muss Masqerading benutzen.

Ich ergänze mal mich selbst:

Dem steht weder entgegen, daß mit NAT theorethisch auch eine Umsetzung von mehreren Adressen auf mehrere Adressen möglich ist, noch dass weitere Spezialfälle (PAT - Portadresstranslating, DNAT- Dynamic Adresstranslating, SNAT-  Static Adresstranslating) existieren. So richtig wichtig ist jedoch das folgende:

Verbindungsaufnahme aus dem privaten Netz heraus:
-------------------------------------------------
NAT genügt, Die Internetverbindungsfreigabe kann es, die üblichen DSL Router machen es "ohne" (weitere) Konfiguration.

Bei NAT (genau genommen DNAT) wird Buch geführt, damit die auf die ausgehenden Datenpakete eingehenden Antworten auch zum anfordernden Rechner zurückgeleitet werden können. Manipuliert werden die Source- Ip's der ausgehenden Datenpakete. Die Antwortpakete werden entsprechend der "Buchführung" zum Rechner (der Quelle der zugrunde liegenden Anfrage) zurückgeleitet. Es wird deren Target- Adresse manipuliert.

Die Existentenz von mehrer ("internetgültiger") IP-Adressen auf der Ausgangsseite des lokalen Netzwerkes ist eigentlich nur bei SNAT, und auch dann nur in Spezialfällen erforderlich. Mir fällt keiner ein.

Verbindungsaufnahme in das private Netzwerk hinein:
---------------------------------------------------
Masquerading erforderlich. Es ist notwendig anzugeben, welche an der Firewall eingehenden Verbindungswünsche (nach Ports) an welchen Port welchen Rechners, Portbereich welchen Rechners oder generell welchen Rechner geroutet werden. Bei genauer Betrachtungsweise (Die eingehenden Datenpakete werden hinsichtlich der Destination IP- Adressen und/oder eventuell Ports manipuliert) findet auch hier ein NAT statt. Die Source- IP- Adressen der eingehenden Datenpakete können unmanipuliert bleiben, da die Antwortpakete ja geroutet werden können, wobei dann wiederum die Source- IP's manipuliert werden. Eine Buchführung ist nicht notwendig, die Tabelle richtet es. Masquerading ist eine Firewallfunkton.

Auf den ca. 20000 Fundstellen (Gooogle, nit Deutsch) finden sich übrigens 19000 verschiedene Definitionen des ganzen Theaters. Fast das einzige allen gemeinsame Fazit ist: Masquerading sei ein Sonderfall des NAT. Ich persönlich sehe es so, das Masquerading NAT benutzt und die Implementierungen vielfältig sind. Vielleicht steht ja in den RFC's was.

fastix