Провайдер выдает пользователю один IP-адрес. Но в квартире — ноутбук, несколько телефонов, телевизор и пара умных устройств. Как они одновременно ходят в интернет, если адрес один? Это обеспечивает NAT: Network Address Translation — трансляция сетевых адресов. Технология подменяет адреса на лету, так что все ваши гаджеты выходят в сеть через одну точку, не мешая друг другу.
Разбираемся, как работает NAT, в каких случаях трансляция требует внимания, а когда в настройках роутера лучше ничего не трогать.
Что такое NAT — определение и зачем он нужен
NAT — технология, которая заменяет IP-адреса в пакетах данных при их прохождении через маршрутизатор. Это позволяет устройствам с приватными адресами (вроде 192.168.1.10) общаться с внешним миром через один публичный IP.
Обычно внутренние адреса устройствам выдаёт DHCP: он автоматически назначает IP, маску, шлюз и DNS, чтобы админ не прописывал настройки вручную на каждом ноутбуке, телефоне или принтере.
Проблема, которую решает NAT, стара как сам цифровой мир, но всегда актуальна. Протокол IPv4, на котором построен интернет, использует 32-битные адреса. Всего их около 4,3 млрд. Еще в 1990-х годах стало понятно: этого катастрофически мало. Но никто не собирался пересаживать всей пользователей на IPv6 за один день. Вместо этого придумали временное решение, которое затянулось на три десятилетия.
NAT позволил использовать одни и те же диапазоны приватных адресов внутри множества независимых сетей. Зайдите в любой офис в Москве, Пекине или Йоханнесбурге — везде найдёте адреса вида 192.168.x.x. И никакого конфликта, потому что снаружи эти адреса не видны. Снаружи — только один публичный IP, за которым прячется целая армия устройств.
Сейчас, в 2026 году, дефицит IPv4-адресов только усугубился. Свободных пулов больше нет — всё распределено и перепродаётся на вторичном рынке. Провайдеры массово внедряют Carrier-Grade NAT (CGNAT), когда один публичный IP делят между тысячами абонентов. А цены на редкие IPv4-адреса достигли $30–50 за штуку и продолжают расти.
Как работает NAT — принцип трансляции адресов
Технология работает на сетевом уровне модели OSI (третий уровень, если кому-то интересны детали). Когда устройство из локальной сети хочет получить данные из интернета, пакет проходит через маршрутизатор, и тот незаметно подменяет адрес отправителя.
Что происходит с отдельно взятым пакетом:
- Шаг 1. Перед тем как отправить запрос на сервер, браузер обычно обращается к DNS: он переводит доменное имя сайта в IP-адрес, к которому уже можно отправлять пакеты. Поэтому, ноутбук с адресом 192.168.1.5 отправляет запрос на сервер в интернете. В пакете указано: отправитель — 192.168.1.5, порт 54321, получатель — 8.8.8.8, порт 80. Такой пакет до интернета не дойдёт: адрес 192.168.1.5 не маршрутизируется в глобальной сети.
- Шаг 2. Маршрутизатор ловит пакет и делает запись в таблице трансляций. Запоминает: кто, откуда и на какой внешний адрес собирается. Внутренний адрес 192.168.1.5 и порт 54321 связываются с внешним IP-адресом маршрутизатора и новым портом — например, 50001.
- Шаг 3. Маршрутизатор подменяет адрес отправителя на свой публичный IP, меняет порт на 50001 и отправляет пакет дальше. Серверу в интернете «кажется», что запрос пришёл от маршрутизатора.
- Шаг 4. Сервер обрабатывает запрос и отправляет ответ. В ответном пакете адрес получателя — публичный IP маршрутизатора и порт 50001.
- Шаг 5. Маршрутизатор получает ответ, смотрит в свою таблицу трансляций и видит: порт 50001 закреплён за устройством 192.168.1.5:54321. Подменяет адрес назначения и пересылает пакет ноутбуку.
Самая большая скидка — 10% на все курсы!
До 30 июля по промокоду KOD (можно просто нажать) действует максимальная скидка — 10% на все платные курсы Практикума. Если давно хотели разобраться в разработке, аналитике, нейросетях, тестировании или кибербезопасности, сейчас можно зайти дешевле.
А если пока не готовы выбирать курс, у Практикума есть бесплатные вводные части — можно попробовать направление без привязки карты.
Важно. Таблица трансляций не бесконечна. У одного публичного IP максимум 65 535 портов (теоретический лимит). На практике маршрутизаторы используют переподписку, когда один порт обслуживает несколько соединений последовательно. Но если устройство откроет десятки тысяч одновременных сессий — например, из-за вируса, — порты быстро закончатся, и интернет у соседей по NAT-пулу встанет.
Типы NAT — чем отличаются и когда применяются
Существует несколько разновидностей NAT. Они отличаются тем, как именно роутер сопоставляет внутренние и внешние адреса, а также насколько строго фильтрует входящие соединения.
Static NAT
Один приватный IP навсегда привязан к одному публичному. Вариант простой и прямолинейный, но неэкономный — он расходует публичные адреса один к одному. Используется, когда устройство внутри сети должно быть постоянно доступно извне по фиксированному адресу. Как, например, веб-сервер или FTP-сервер компании.
Пример. У вас есть сервер с адресом 10.0.0.10, и он всегда должен выглядеть из интернета как 203.0.113.5. Никаких других вариантов. Настроили один раз — и забыли.
Dynamic NAT
Берётся пул публичных IP-адресов и раздаётся устройствам по мере необходимости. Устройство, которое первым запросило выход в интернет, получает свободный адрес из пула. Освободился адрес — ушёл обратно в пул. Тоже вариант «один к одному», но теперь это не один фиксированный адрес для каждого устройства, а общая коробка адресов на всех.
Где применяется. В офисах, где много сотрудников, но публичных адресов меньше, чем компьютеров. Пока одни сидят в интернете, другие могут вообще не выходить в сеть и не занимать адреса.
PAT / NAT Overload
Самый распространённый тип. Именно он работает в каждом домашнем роутере. Все устройства локальной сети выходят в интернет через один публичный IP, различаются только номера портов.
Представьте многоквартирный дом. Внутри сотни квартир, и чтобы доставить письмо конкретному жильцу, нужен номер квартиры. В случае с PAT номер квартиры — это порт. У одного публичного IP может быть одновременно открыто до 65 535 портов. Этого с огромным запасом хватает для домашней сети из десяти устройств.
Пример. Ноутбук открывает порт 54321 для одного сайта, телефон — порт 54322 для мессенджера, телевизор — порт 54323 для видеопотока. Снаружи все запросы идут с одного адреса, но обратно пакеты расходятся по разным портам и попадают куда надо.
Full Cone, Restricted Cone, Port Restricted Cone, Symmetric NAT
Эти четыре подтипа описывают поведение NAT при работе с протоколом UDP. Именно их показывает игровая консоль или мессенджер в настройках сети. Классификация зафиксирована в документе RFC 4787, который стандартизирует требования к поведению NAT для UDP-трафика.
Full Cone NAT (NAT1). Самый открытый вариант. Устройство внутри сети получает фиксированную внешнюю пару (адрес + порт). После этого любой хост в интернете может отправить пакет на эту внешнюю пару — и роутер доставит его внутрь.
Restricted Cone NAT (NAT2). Чуть более строгая конфигурация. Внешний хост может прислать пакет внутрь только в том случае, если внутреннее устройство уже отправляло пакет на IP-адрес этого внешнего хоста. IP-адрес важен, порт имеет второстепенное значение.
Port Restricted Cone NAT (NAT3). Ещё строже. Внешний хост получит доступ, только если внутреннее устройство уже отправляло пакет на конкретный IP и конкретный порт этого хоста.
Symmetric NAT (NAT4). Самый закрытый вариант. Для каждого внешнего адреса и порта роутер создаёт отдельное внешнее отображение. Одно и то же устройство, обращаясь к двум разным серверам, получит два разных внешних порта. Для P2P-соединений, онлайн-игр и видеозвонков это создаёт серьёзные проблемы. Соединение через Symmetric NAT без специального ретранслятора (TURN-сервера) часто вообще невозможно.
Почему это важно. Если у вас в настройках сети на PlayStation или Xbox написано «NAT тип: Строгий» или «Symmetric», то:
- некоторые игры не будут находить других игроков;
- голосовой чат может не работать;
- придётся настраивать проброс портов или включать UPnP.
Full Cone (Открытый) — идеал для игр и P2P. Restricted — приемлемый вариант, большинство игр справляется. Symmetric — головная боль, иногда с ней ничего не поделать без прямого доступа к роутеру.
NAT в роутере — что это в настройках и как включить
В домашних роутерах NAT действует по умолчанию. Вы даже не задумываетесь о нём, пока всё работает. Но ситуации, когда в настройки всё-таки приходится залезть, случаются.
Где искать NAT в интерфейсе роутера. У большинства устройств разделы называются примерно одинаково:
- TP-Link. Заходите в веб-интерфейс (обычно 192.168.0.1 или tplinkwifi.net), выбираете «Дополнительные настройки» → «NAT Forwarding» → «Port Forwarding».
- ASUS. Переходите на страницу роутера (asusrouter.com), нажимаете WAN → NAT Passthrough. Там можно включить или выключить проброс для VPN-протоколов вроде PPTP, L2TP, IPSec.
- Keenetic. Заходите в веб-конфигуратор, выбираете «Port Forwarding», добавляете правило NAT. Отдельные правила фаервола создавать не нужно — достаточно одного правила проброса портов.
Далее ситуации, при которых NAT приходится настраивать.
Проброс портов (Port Forwarding). Нужен, чтобы внешний пользователь из интернета мог зайти на устройство внутри вашей сети — например, на домашний веб-сервер, NAS, камеру или игровой сервер. Правило проброса говорит роутеру: «Если кто-то стучится снаружи на порт 8080, отправляй его на компьютер с адресом 192.168.1.100, порт 80».
DMZ (демилитаризованная зона). Если лень настраивать проброс для каждого порта в отдельности, можно отправить весь входящий трафик на одно устройство внутри сети. Для домашнего использования не рекомендуется — возникает слишком много дыр в безопасности.
Режим моста (Bridge Mode). Если у вас два роутера (например, провайдерский и ваш собственный), имеет смысл отключить NAT на одном из них. Иначе получится двойной NAT, когда пакет переписывается дважды. Работать будет, но могут появиться глюки с онлайн-играми и голосовыми звонками.
UPnP (Universal Plug and Play). Функция, позволяющая программам самим открывать себе порты без вашего участия. Удобно для игр, мессенджеров и торрент-клиентов. С точки зрения безопасности — сомнительно, потому что любое приложение может прописать себе правило без спроса.
Вы не спрашивали, но мы ответим
Что такое NAT в роутере простыми словами?
Переводчик адресов. Устройство вручает каждому вашему гаджету внутренний адрес, а при выходе в интернет подменяет его на свой публичный. Ответы от серверов получает он же и раскидывает их по правильным устройствам.
Какой тип NAT лучше?
Для рядового юзера — тот, который работает. Для геймера — Full Cone (NAT1) или Restricted Cone (NAT2). Symmetric NAT (NAT4) создаёт проблемы с многопользовательскими играми и голосовыми звонками.
Почему у меня в настройках сети написан тип NAT «Строгий»?
Ваш роутер или провайдер использует строгие правила фильтрации входящих соединений. Для исправления включите UPnP в настройках роутера, настройте проброс портов вручную или позвоните провайдеру и узнайте про белый IP-адрес (отдельный публичный адрес без CGNAT).
Может ли NAT работать с IPv6?
IPv6 изначально проектировался без NAT. У каждого устройства может быть собственный глобальный адрес, и никакой трансляции не требуется. Однако на практике для совместимости со старыми IPv4-серверами используют NAT64 — технологию, преобразующую IPv6-адреса в IPv4 и обратно.
Почему после перезагрузки роутера некоторые устройства перестали выходить в интернет?
Таблица трансляции NAT сбросилась. Устройствам нужно установить новые соединения. Обычно помогает полное отключение питания роутера на минуту или перезапрос IP-адресов на самих устройствах.
Вернёмся к тому, с чего начали. Ваш телефон, ноутбук и телевизор одновременно смотрят ютуб с одним IP от провайдера — потому что за кадром работает NAT. Он делает невидимую работу: подменяет адреса, запоминает порты, разносит ответы по нужным устройствам.
Технологию не зря называют одной из главных причин живучести IPv4. Она позволила интернету не задохнуться в 1990-х в условиях жуткого дефицита адресов. При этом породила кучу проблем с прямой связностью устройств — проблемы, которые разработчикам пришлось решать через костыли вроде проброса портов и STUN-серверов.
IPv6 обещает избавить нас от трансляции адресов. Но пока обещания так и остаются обещаниями, а NAT продолжает спокойно работать в миллиардах устройств по всему миру. И будет работать ещё долго.
Советуем дополнительно почитать по теме:
Бэкенд с нуля в 2026: учим Flask, Docker, Redis и ещё 7 технологий — роадмап для тех, кто хочет понять серверную разработку: HTTP, API, базы данных, Docker, Redis, тесты и деплой.
Что такое DevOps и как он работает — как разработка, инфраструктура, CI/CD, серверы и эксплуатация соединяются в один процесс.
Kubernetes: что нужно знать, чтобы получать 350 000 в месяц — зачем нужен Kubernetes, как он управляет контейнерами и почему сетевые знания важны для работы с инфраструктурой.
Что такое «Докер» и для чего он нужен — контейнеры, образы, Dockerfile, docker-compose.yml и изоляция окружений на практике.
17 инструментов разработчика: базовый набор для любого стека — редактор, GitHub, Docker, Postman, AI-инструменты и другие утилиты, которые помогают работать с кодом и инфраструктурой.
Хотите разобраться в IT глубже, чем просто запомнить расшифровку NAT? У нас для вас промокод на курсы Яндекс Практикума. Он делает обучение дешевле, а ещё автоматически подставляет правильные порты в таблицу трансляции и открывает доступ к знаниям без двойного NAT. Шутка: это просто скидка. Но хорошая.
