Passa al contenuto principale

1:1 NAT

warning

Funzione per esperti​

Swisscom raccomanda di far configurare questa funzione solo da specialisti IT esperti. Errori di configurazione possono portare a rischi significativi per la sicurezza, che possono influire negativamente sia sull'installazione del cliente che sulla reputazione di Swisscom.

I dettagli sono disponibili nelle FAQ


Il 1:1 NAT (Network Address Translation), noto anche come Static NAT, assegna in modo fisso un indirizzo IP privato interno a un indirizzo IP pubblico esterno. Contrariamente al tradizionale Port Forwarding (PAT), in questo caso tutti i porte e i protocolli vengono passati in modo trasparente.

Con il 1:1 NAT, l'associazione tra l'indirizzo privato e quello pubblico rimane permanente. Questo è bidirezionale:

  • Inbound: Il traffico verso l'IP pubblico viene inoltrato all'IP interno.
  • Outbound: Il traffico dall'host interno appare su Internet con lo specifico IP pubblico.

Configurare il 1:1 NAT​

  • Sul portale del router alla voce Rete → Indirizzi pubblici
  • Attivare l'opzione 1:1 NAT
  • Verificare le impostazioni del firewall. A seconda della modalità scelta, è necessario aggiungere le relative regole.

Restrizioni​

  • Non disponibile con contratto BNS/EC-S
  • Non disponibile per contratti senza IP fisso

FAQ 1:1 NAT​

Qual è la differenza tra 1:1 NAT e Port Forwarding?
  • 1:1 NAT: Tutti i porte e i protocolli vengono rispecchiati da un IP pubblico a un IP interno.
  • Port Forwarding: Vengono inoltrate solo porte specifiche (es. porta 80 o 443). In breve: Il 1:1 NAT è una mappatura completa degli indirizzi, mentre il Port Forwarding è parziale.
Quali sono i rischi del 1:1 NAT?
  • Ogni server nella LAN è direttamente raggiungibile tramite un IP pubblico → maggiore superficie di attacco.
  • Le regole del firewall devono essere configurate attentamente.
  • Una configurazione errata può esporre i sistemi interni senza protezione.
Il 1:1 NAT funziona anche con IPv6?

In linea di principio non è necessario. In IPv6 ci sono abbastanza indirizzi pubblici, quindi la funzione NAT viene solitamente omessa. IPv6 punta maggiormente sul routing diretto e sulla sicurezza tramite firewall invece che sul NAT.

Il 1:1 NAT può causare problemi con le connessioni VPN?

Sì, in particolare con le VPN IPSec, poiché queste includono gli indirizzi IP direttamente nell'autenticazione del tunnel. In questi casi, il "NAT-Traversal (NAT-T)" può essere d'aiuto.

Posso configurare più regole 1:1 NAT?

Sì, a condizione di disporre di più IP pubblici. Ogni regola forma un'associazione univoca (un IP pubblico ↔ un IP privato).

Ultimo aggiornamento il