Pesquise “qual é o meu IP” no celular e anote o número. Agora faça o mesmo no notebook ── por algum motivo, o valor que volta é exatamente o mesmo. Aparelhos diferentes, mesmo endereço. O que trabalha por trás desse pequeno mistério é o protagonista de hoje: o NAT. Se algo disso soa familiar, continue lendo.
- Você não sabe por que todos os aparelhos da casa informam o mesmo “meu endereço IP”
- Um jogo online mandou “verificar seu tipo de NAT” e você travou
- Você tentou montar um servidor caseiro ou de jogo e disseram que era “preciso abrir uma porta”
- Você ouviu que “nada consegue chegar aos seus aparelhos de fora”, mas não saberia explicar por quê
NAT (Network Address Translation: tradução de endereços de rede) é, em uma frase, o balcão de tradução que permite a todos os aparelhos da sua casa ── ou do escritório ── compartilharem um único endereço IP global. Mas essa frase, sozinha, não explica por que o tráfego de fora não consegue alcançá-lo, o que exatamente “abrir uma porta” abre, nem o que o “tipo de NAT” de um jogo online está de fato diagnosticando.
Este artigo fica totalmente fora de instruções de configuração de roteador e percorre:
- Por que o NAT existe ── 4,3 bilhões de endereços não bastaram (§1)
- O livro de registros do balcão ── o que o NAT reescreve de verdade (§2)
- Por que nada chega até você de fora ── defesa e inconveniente são duas faces de uma mesma estrutura (§3)
- Abertura de portas ── escrever à mão uma linha permanente no registro (§4)
- Onde o NAT incomoda ── os “tipos de NAT” dos jogos, o NAT da operadora e os limites do registro (§5)
── pelo caminho mais curto através da lógica de funcionamento, e nada mais.
| Sua pergunta | Seção |
|---|---|
| Por que todos os meus aparelhos informam o mesmo IP? | §1 |
| O que o NAT faz concretamente? | §2 |
| Por que nada consegue chegar aos meus aparelhos de fora? | §3 |
| O que é, afinal, abrir uma porta? | §4 |
| O que o “tipo de NAT” de um jogo está verificando? | §5 |
Este artigo é o segundo mergulho da nossa série “como o seu PC realmente funciona” (endereços IP, DNS, firewall, por que a rede do escritório fica lenta e VPN). O NAT já fez pontas em quatro desses artigos ── este é o episódio em que o coadjuvante recorrente finalmente ganha o papel principal.
1. Por que o NAT existe ── 4,3 bilhões de endereços não bastaram
1-1. Se os endereços são escassos, compartilha-se
Como vimos no artigo sobre endereços IP, o IPv4 tem apenas cerca de 4,3 bilhões de endereços no total ── nem um por ser humano. Numa época em que uma pessoa tem celular, notebook, TV e console, isso não chega nem perto de bastar.
Então uma solução paliativa se espalhou pelo mundo: cada residência toma emprestado apenas um endereço válido na internet inteira (um IP global) e, dentro de casa, os aparelhos usam endereços que só valem dentro de casa (IPs privados). Cada aparelho da casa recebe um IP privado como 192.168.1.10 (distribuído automaticamente por um mecanismo chamado DHCP).
1-2. O número geral da empresa e os ramais
O que liga esses dois andares de endereços é o roteador na porta de entrada da internet da sua casa ── ou, mais precisamente, o NAT que o roteador executa nos bastidores. Pense no telefone geral de uma empresa. O mundo exterior só conhece um número; dentro, cada mesa tem seu ramal. Toda ligação que sai parece vir do número geral ── o IP global é o número geral, e um IP privado mais uma porta é o ramal.
Um IP global, compartilhado por todos
Dentro de casa (IPs privados) O endereço mostrado ao mundo
Celular 192.168.1.10 ──┐
PC 192.168.1.11 ──┼─→ roteador ──→ 203.0.113.5 (um só)
Console 192.168.1.30 ──┘ (NAT = balcão de tradução)
= o ramal de cada mesa = o número geral da empresa
1-3. Por isso o “meu IP” é igual em todos os aparelhos
Isso resolve o mistério da introdução. O que a web lá fora enxerga é o único IP global que a sua casa inteira compartilha. Consultando do celular ou do notebook, o que volta é o número geral da casa ── por isso o valor é o mesmo.
O NAT se espalhou como paliativo para o “estamos ficando sem endereços”. O paliativo virou a paisagem padrão da internet e, de quebra, produziu um muro defensivo (§3) como efeito colateral ── essa ascensão não planejada é o que torna o NAT uma tecnologia tão interessante.
2. O livro de registros do balcão ── o que o NAT reescreve de verdade
2-1. Ida ── reescrever e anotar
Digamos que o seu celular (192.168.1.10) vai visitar um site. Ele não pode ir do jeito que está. Um IP privado só vale dentro de casa, então se o remetente continuar sendo 192.168.1.10, o mundo exterior não tem como endereçar uma resposta.
Por isso o NAT (o balcão) reescreve o remetente na saída. Ele lida não só com o endereço IP, mas também com o número de porta (os “guichês” de 0 a 65535 que subdividem um mesmo endereço IP ── os ramais, na nossa metáfora), e anota num livro de registros ── a tabela NAT ── qual tráfego de qual ramal foi designado a qual guichê do lado de fora.
2-2. Volta ── consultar o registro e reescrever de volta
A resposta do site chega endereçada ao “guichê 40001 de 203.0.113.5“. O balcão consulta o registro ao contrário ── “o 40001 foi designado à porta 51000 do celular” ──, reescreve o destino de volta ao IP privado e entrega.
A tabela NAT ── anotar na ida, consultar na volta
Ida:
Celular 192.168.1.10:51000 ──→ balcão ──→ 203.0.113.5:40001 ──→ site
│
└─ anotado no registro
192.168.1.10:51000 ⇔ 203.0.113.5:40001
Volta:
Site ──→ 203.0.113.5:40001 ──→ balcão "segundo o registro…" ──→ 192.168.1.10:51000
Os pontos-chave: uma linha do registro só é escrita quando uma conexão começa de dentro, e, terminada a conversa, a linha acaba sendo apagada. Se todos os aparelhos da casa conseguem ficar online ao mesmo tempo, é porque o balcão vai atribuindo números de guichê distintos e repetindo esse ciclo de anotar e consultar, sem parar.
pensar no NAT como “uma função da caixa do roteador doméstico”. O NAT é, na verdade, a operação desse livro de registros, e não importa onde ele rode. O roteamento do seu celular no modo hotspot, o equipamento de saída do escritório e o equipamento da operadora que veremos adiante (§5) são o mesmo balcão de tradução, funcionando no mesmo princípio.
3. Por que nada chega até você de fora ── defesa e inconveniente, duas faces de uma estrutura
3-1. Se não está no registro, só resta descartar
Até aqui falamos de conexões que começam de dentro. E uma conexão que começa de fora ── alguém lá fora que, de repente, se dirige a 203.0.113.5?
O balcão consulta o registro. Mas ninguém de dentro iniciou essa conversa, então não há linha correspondente em lugar nenhum. A casa tem celular, PC, console ── e nenhum jeito de decidir qual ramal deve atender a chamada. Como uma ligação para o número geral que não cita nenhum funcionário, o tráfego sem destinatário conhecido só pode ser descartado.
Uma conexão vinda de fora não tem linha no registro
Alguém lá fora ──→ para 203.0.113.5 ──→ balcão: "não está no registro ── nem ideia de para quem é" ──→ ✕ descartado
Essa única estrutura tem duas faces:
├─ a face defensiva: nada invade de fora (o "primeiro muro" do artigo do firewall)
└─ a face inconveniente: seu servidor caseiro e os servidores do escritório também ficam inalcançáveis
(é por isso que existem a abertura de portas e as VPNs)
3-2. A face defensiva ── “a fortaleza acidental”
Vista como defesa, essa propriedade de “inalcançável” é notavelmente forte. É exatamente o que o artigo do firewall chamou de “muro nº 1: o roteador NAT” ── ataques e varreduras indiscriminadas iniciados de fora são descartados como não entregáveis, estruturalmente, antes de chegarem a qualquer aparelho da sua casa. Nunca foi projetado como defesa e, ainda assim, acaba sendo um escudo ── por isso o NAT é chamado de fortaleza acidental.
3-3. A face inconveniente ── o tráfego legítimo também não entra
Mas a mesma estrutura vira inconveniente na mesma hora. Você monta um servidor de jogo em casa e quer convidar os amigos. Quer acessar o servidor de arquivos do escritório de casa. Ambas são “conexões que começam de fora”, então são descartadas exatamente da mesma forma, com ou sem má intenção. O registro não julga o bem e o mal. Sem linha, sem entrega ── é só isso.
Há duas formas legítimas de atravessar esse muro. Uma é uma VPN ── manter um túnel aberto de dentro para fora, para segurar um endereço interno mesmo estando fora. A outra é o assunto da próxima seção: a abertura de portas ── escrever uma exceção diretamente no registro.
Nem a defesa nem o inconveniente são algo que o NAT pretendeu. Uma única estrutura ── tráfego sem linha no registro não pode ser encaminhado ── age como escudo de um ângulo e como muro do outro. Essa dupla face é a coisa mais importante a entender sobre o NAT.
4. Abertura de portas ── escrever à mão uma linha permanente no registro
4-1. Não é “furar um buraco” ── é adicionar uma regra de encaminhamento
Abertura de portas (também chamada de encaminhamento de portas ou port forwarding) soa como furar um buraco no muro, mas o que acontece de fato é bem mais burocrático: você escreve à mão, no registro, uma linha permanente dizendo “todo tráfego endereçado a este guichê do IP global é encaminhado, sempre, para este guichê deste aparelho aqui dentro” ── e é só isso.
Abertura de portas ── uma linha permanente escrita à mão
Uma linha normal (escrita automaticamente, apagada quando a conversa termina)
192.168.1.10:51000 ⇔ 203.0.113.5:40001 ← registro de uma conexão iniciada dentro
Uma linha de abertura de porta (escrita à mão, nunca apagada)
para 203.0.113.5:25565 ──→ encaminhar sempre a 192.168.1.30:25565 (o console)
│
└─ até conexões iniciadas fora passam, desde que casem com esta linha
Enquanto as linhas do registro do §2 eram “registros temporários de conexões iniciadas dentro”, uma linha de abertura de porta é “um assento reservado permanente para conexões que começam fora”. Agora um amigo, lá na internet, pode bater na porta 25565 do seu IP global e chegar ao servidor de jogo dentro da sua casa.
4-2. O que está atrás dessa porta fica, na prática, fora do muro
Mas é preciso entender com precisão o que essa linha significa. O tráfego para uma porta aberta é repassado ao aparelho designado sem distinção entre o bem e o mal. Como mostrou o artigo do firewall, qualquer endereço IP publicamente alcançável recebe uma chuva contínua de varreduras indiscriminadas. A partir do momento em que você abre a porta, aquele aparelho não está mais na zona segura atrás do muro ── está na mira dos scanners.
a abertura de porta esquecida. A linha de um servidor de jogo abandonado há tempos continua no registro e, meses depois, surge uma vulnerabilidade naquele aparelho ── um acidente clássico. A regra da abertura de portas é “encaminhar para o mínimo possível e apagar quando terminar”. Isso também é um dos “cinco momentos em que os muros desaparecem” do artigo do firewall.
Muitos roteadores domésticos vêm com UPnP (um mecanismo que permite a um aplicativo pedir ao roteador que escreva por ele, automaticamente, uma linha de abertura de porta). É por isso que consoles e chamadas de vídeo muitas vezes “simplesmente funcionam” sem configurar nada ── mas, virando o argumento ao contrário, significa que linhas estão sendo escritas no seu registro sem você saber. Vale conhecer essa troca.
5. Onde o NAT incomoda ── os “tipos de NAT”, o NAT da operadora e os limites do registro
5-1. O “tipo de NAT” dos jogos online ── um diagnóstico de alcançabilidade
O “tipo de NAT” que você vê nos jogos online é um diagnóstico de se duas partes, ambas atrás de NAT, conseguem conversar diretamente (par a par, P2P), sem um servidor no meio. Seu adversário está atrás do balcão da casa dele, e você atrás do seu. Ou seja, “conexões de fora são descartadas” (§3) vale para os dois ao mesmo tempo ── e às vezes nenhum dos lados consegue alcançar o outro.
O veredito expressa, grosso modo, uma escala de alcançabilidade ── de “restrições frouxas, o P2P conecta fácil” até “o P2P quase nunca dá certo”. Os nomes (tipo A/B/C, tipo 1/2/3, aberto/moderado/restrito etc.) são rótulos informais de cada fabricante, não termos técnicos padronizados. A leitura certa não é o nome, e sim a estrutura: “quanto espaço o meu balcão deixa para, como exceção, deixar passar tráfego iniciado lá fora?”
5-2. O NAT da operadora (CGNAT) ── dois balcões de tradução
Esse padrão é cada vez mais comum. A escassez de IPs globais é tão séria que algumas operadoras nem distribuem “um por residência” ── elas colocam mais uma camada de NAT dentro da rede da operadora e fazem vários assinantes compartilharem um mesmo IP global. Isso se chama CGNAT (NAT de nível de operadora).
CGNAT ── dois balcões de tradução
Aparelhos ──→ roteador de casa ──→ NAT da operadora ──→ internet
192.168.1.10 (balcão nº 1) (balcão nº 2) 203.0.113.5
(compartilhado com outros assinantes)
Mesmo configurando a abertura de portas no seu roteador…
fora ──→ 203.0.113.5:25565 ──→ nº 2: "não está no registro" ──→ ✕ descartado aqui mesmo
(você não consegue escrever linhas no registro do nº 2)
Nessa configuração, abrir portas no roteador de casa não torna você alcançável de fora. O tráfego que chega é descartado primeiro no balcão nº 2 ── o da operadora ── e esse registro mora no equipamento da operadora, onde você não escreve nada. É o culpado clássico do “minha configuração está perfeita e mesmo assim não funciona”.
5-3. Os limites do registro, e uma palavra sobre IPv6
O registro não é infinito. Há um número máximo de linhas e, com aparelhos e conexões de nuvem se multiplicando, um registro cheio significa que conexões novas não abrem e as existentes caem ── problema com zero falha de hardware. Como esse esgotamento aparece como “a rede do escritório está lenta” está ilustrado no §5 de Por que a rede do escritório fica lenta?.
E no mundo do IPv6, onde endereços abundam a ponto de dar vários a cada pessoa, o NAT-para-compartilhar se torna desnecessário em princípio. Mas o papel defensivo que o “inalcançável de fora” (§3) desempenhava em silêncio não pode sumir junto ── um firewall assume esse trabalho, explicitamente. Para a situação dos endereços IPv4/IPv6, veja o §7 do artigo sobre endereços IP.
Resumo ── a essência em quatro linhas
- O NAT é o balcão de tradução que permite a todos compartilharem um IP global ── por isso cada aparelho da casa informa o mesmo “meu IP”: é o número geral da empresa
- O mecanismo central é o livro de registros (a tabela NAT) ── conexões iniciadas dentro são anotadas como “IP + porta”, respostas são reescritas pela consulta inversa, e tráfego sem linha no registro só pode ser descartado
- Esse “inalcançável” é defesa (o primeiro muro) e inconveniente (servidores de casa e do escritório fora de alcance) ── duas faces de uma estrutura. As vias legítimas para atravessá-lo são as VPNs e a abertura de portas
- Abertura de portas = uma linha permanente no registro. O que fica atrás entra na mira dos scanners, então mínimo necessário. E se continuar inalcançável, suspeite do CGNAT (um segundo balcão) e do esgotamento do registro
A estrutura de endereços de dois andares está em O que é um endereço IP?, a face defensiva do muro continua em O que acontece sem um firewall?, atravessar o muro de dentro para fora é O que é uma VPN?, e a lentidão nascida do esgotamento do registro está em Por que a rede do escritório fica lenta?. O coadjuvante recorrente da série agora deve conectar o quadro inteiro.
FAQ
Q1. Por que todos os aparelhos da minha casa informam o mesmo “meu endereço IP”?
R. Porque o que o mundo exterior vê é apenas o único IP global que a sua casa inteira compartilha ── o número geral (§1). Seu celular e seu PC têm, cada um, seu IP privado dentro de casa, mas, na saída, o balcão (NAT) reescreve todos para o mesmo número geral. Um site de “qual é o meu IP” responde com o número geral da sua casa, não com o endereço do seu aparelho.
Q2. Abrir portas é perigoso?
R. No sentido de que “o aparelho atrás da porta aberta fica diretamente exposto à varredura indiscriminada”, o risco realmente aumenta (§4-2). Se é perigoso, depende de como você faz: mantenha o aparelho de destino e o software atualizados, abra o mínimo de portas possível e apague a linha quando terminar. Para um uso em que dê para manter essas regras (um servidor de jogo ativo só enquanto você joga, por exemplo), é um risco administrável. Se não der, não abra a porta.
Q3. O que melhora de verdade o “tipo de NAT” de um jogo?
R. Estruturalmente, ajuda tudo que “dá ao seu balcão mais espaço para, como exceção, deixar passar tráfego iniciado lá fora” ── abrir as portas relevantes ou ativar o UPnP são os exemplos clássicos (§4). Mas num ambiente CGNAT (§5-2), nenhum ajuste do lado de casa vai torná-lo alcançável; pode ser preciso migrar para um plano ou operadora que atribua a você um IP global individual. Os passos concretos variam por roteador e contrato, então este artigo fica na explicação estrutural.
Q4. O NAT vai sumir com o IPv6?
R. O trabalho original ── compartilhar endereços ── fica desnecessário, porque o IPv6 tem endereços de sobra para cada aparelho ter o seu, global (§5-3). Mas a defesa que o NAT fornecia como efeito colateral ── bloquear estruturalmente o tráfego iniciado de fora ── não pode sumir junto, então um firewall assume esse papel de forma explícita. O jeito exato de lembrar: “o NAT pode ir embora, mas o muro fica (e deve ficar)”.
Q5. O NAT também é o motivo de eu não conseguir acessar o servidor interno da empresa de fora?
R. É um dos motivos principais. Servidores internos só têm IPs privados e ficam atrás do NAT, então não podem ser apontados como destino de fora (§3). Além disso, as empresas mantêm firewalls que recusam explicitamente o tráfego iniciado de fora. O caminho padrão e legítimo para atravessar os dois é uma VPN ── um túnel aberto de dentro para fora que permite segurar um endereço interno estando fora. O mecanismo está ilustrado em O que é uma VPN?.
Leave a Reply