Qual é a diferença entre NAT e encaminhamento de portas?

NAT permite que muitos dispositivos em uma rede privada "interna" compartilhem a conexão com redes externas e a Internet através de um único dispositivo. Usuários domésticos, por exemplo, compartilham a conexão única com um ISP (como a Comcast) através de um serviço NAT fornecido pelo modem/roteador fornecido pelo ISP que se conecta à rede externa (através do cabo coaxial da Comcast TV). Cada dispositivo em sua casa, com ou sem fio, tem seu próprio endereço Ethernet e seu próprio endereço IP privado interno. Isto permite que os dispositivos falem uns com os outros, mas estes endereços IP privados não podem ser usados para enviar dados para fora de sua casa. O roteador fornece um serviço "proxy" (Network Address Translation) para encaminhar conexões de clientes de todos os seus dispositivos internos através do único endereço IP público externo real que o roteador recebe do provedor. Para o ISP e o mundo exterior, o único dispositivo visível em sua casa com um endereço de rede real é o próprio roteador, e para os dispositivos externos aparece como se o roteador fosse a fonte de todos os pedidos de saída de páginas da Web, transferências de arquivos e e-mails que estão realmente sendo gerados pelos outros dispositivos em sua casa. Esses dispositivos enviam as solicitações para o roteador através da rede privada interna, que então as traduz e anexa como fonte o único endereço IP real que possui, e então as envia para o ISP para que possam ir para qualquer lugar do mundo.

O encaminhamento de portas é uma característica opcional de um dispositivo que fornece um serviço NAT que permite que solicitações de clientes externos para serviços específicos passem do mundo externo, através do roteador, para um dispositivo interno designado. Por exemplo, suponha que você tenha um grande número de arquivos de mídia armazenados em um Plex Media Server e queira torná-los disponíveis para o seu telefone quando você estiver fora de sua casa. Ao computador do servidor Plex é atribuído um endereço IP privado interno pelo roteador, digamos 192.168.1.10. O "número de porta" padrão do protocolo do servidor Plex é 32400 ( você pode alterá-lo e selecionar qualquer outro número até 64K, mas é apenas um número que designa o serviço de mídia Plex a partir de qualquer outro serviço no mesmo computador ou dispositivo. Com o encaminhamento de portas, você configura o roteador Comcast dizendo "se algum computador em qualquer lugar do mundo tentar se conectar a você na sua porta número 32400, encaminhe esse pedido para a porta real 32400 no dispositivo interno com endereço IP 192.168.1.10.

Para computadores no mundo externo, parece que o roteador Comcast é o seu servidor Plex. Quando clientes externos do Plex se conectam ao único endereço IP real pertencente ao roteador, eles vêem o comportamento do servidor Plex. O servidor real está, entretanto, atrás do roteador e é acessado porque o roteador encaminha a solicitação da porta 32400 para o endereço privado interno do dispositivo do servidor real.

A maior parte dos dispositivos que fornecem o serviço NAT também permite que você configure o encaminhamento de portas, mas eles não precisam fazê-lo. A maioria dos usuários domésticos não o utilizam. Uma configuração alternativa é designar um de seus computadores domésticos para ser seu dispositivo "DMZ", que diz ao roteador para encaminhar todos os pedidos de entrada de clientes para todos os protocolos e serviços em todas as portas para aquele computador, mas que expõe o computador designado a um ataque externo se houver alguma vulnerabilidade sem patch ou dia zero em seu sistema.