Entender os tipos de NAT é o primeiro passo para descobrir por que seus dispositivos às vezes têm dificuldade para se comunicar online. Uma videochamada que cai, um jogo que não consegue entrar em uma sala ou um aplicativo de VoIP que funciona bem em casa mas trava no escritório - tudo isso pode ter origem na tradução de endereços de rede, um conceito fundamental que define como seus dispositivos acessam a Internet. Saber o que o NAT faz, por que existem tipos diferentes e quais limitações práticas cada um impõe pode economizar horas de troubleshooting e ajudar você a tomar decisões mais inteligentes sobre sua rede.
Principais pontos:
- A tradução de endereços de rede (NAT) permite que vários dispositivos compartilhem um único endereço IP público, mas introduz restrições de conexão que variam conforme o tipo de NAT.
- Os tipos de NAT aberto, moderado e estrito (ou Tipo 1, 2 e 3 na terminologia de consoles) afetam diretamente conexões peer-to-peer, jogos online e comunicação em tempo real.
- O double NAT - usar dois roteadores em sequência - é uma causa comum de falhas de conectividade inexplicáveis em ambientes domésticos e de pequenas empresas.
- Existem correções práticas para cada tipo de NAT, desde habilitar UPnP até configurar DMZ ou solicitar um IP estático ao seu provedor.
Índice
O que é tradução de endereços de rede?
Todo dispositivo que se conecta à Internet precisa de um endereço IP. O problema é que o pool global de endereços IPv4 está esgotado. RFC 1918 resolveu parte desse problema ao definir faixas de endereços IP privados (como 192.168.x.x e 10.x.x.x) que podem ser reutilizados dentro de qualquer rede local. Um roteador NAT fica na fronteira entre sua rede privada e a Internet, traduzindo endereços privados para o único IP público que seu provedor atribui a você.
Quando seu laptop envia uma requisição para um servidor web, o roteador NAT reescreve o endereço de origem - trocando seu IP privado (por exemplo, 192.168.1.50) pelo seu IP público - antes de encaminhar o pacote. Quando a resposta chega, o roteador desfaz a tradução e entrega os dados ao dispositivo correto. Do ponto de vista da Internet, todos os dispositivos da sua rede parecem ser uma única máquina.
Isso é elegante e prático, mas gera um efeito colateral: conexões de entrada não solicitadas não têm um destino óbvio. O roteador não sabe qual dispositivo interno deve receber um pacote que ninguém pediu. Essa ambiguidade é exatamente o que os diferentes tipos de NAT resolvem de formas distintas.
Tipos de NAT detalhados
A terminologia varia um pouco dependendo se você está lendo sobre consoles de jogos ou teoria de redes, mas o comportamento subjacente é bem mapeado. Veja como os principais tipos de NAT funcionam na prática.
NAT Full Cone (NAT aberto / Tipo 1)
Assim que um dispositivo abre uma conexão de saída, o roteador cria um mapeamento que aceita qualquer pacote de entrada enviado para aquele IP público e porta, independentemente de quem o envia. Este é o tipo mais permissivo. Conexões peer-to-peer, jogos multiplayer e aplicativos em tempo real funcionam sem problemas. É comum quando seu dispositivo está conectado diretamente a um modem sem roteador intermediário, ou quando um dispositivo é colocado na DMZ do roteador.
NAT Cone com Restrição de Endereço (NAT moderado / Tipo 2)
O roteador permite pacotes de entrada apenas de um endereço IP externo com o qual o dispositivo interno já se comunicou. A porta externa não importa. Este é o tipo de NAT mais comum em roteadores domésticos e oferece um equilíbrio razoável entre segurança e conectividade. A maioria dos jogos online e videochamadas funciona bem aqui, embora alguns cenários peer-to-peer exijam negociação adicional.
NAT Cone com Restrição de Porta
Pacotes de entrada só são aceitos se vierem do endereço IP e número de porta exatos com os quais o dispositivo interno se comunicou anteriormente. Isso é mais restritivo do que o NAT com restrição de endereço. Ferramentas de comunicação em tempo real podem ter dificuldades, a menos que usem servidores STUN ou TURN para fazer o hole punching.
NAT Simétrico (NAT estrito / Tipo 3)
Cada conexão de saída recebe um mapeamento de porta externa único, e pacotes de entrada só são aceitos do destino exato com o qual o dispositivo interno se conectou originalmente. Dois dispositivos ambos atrás de NAT simétrico não conseguem estabelecer uma conexão peer-to-peer direta. O NAT estrito é comum em firewalls corporativos e em alguns equipamentos de provedores. É o mais seguro, mas o mais problemático para aplicações em tempo real.
| Tipo de NAT | Termo em consoles | Regra de entrada | P2P / Jogos |
|---|---|---|---|
| Full Cone | Aberto / Tipo 1 | Qualquer origem permitida | Excelente |
| Cone com restrição de endereço | Moderado / Tipo 2 | Somente IP conhecido | Bom |
| Cone com restrição de porta | Moderado / Tipo 2 | IP + porta conhecidos | Regular |
| Simétrico | Estrito / Tipo 3 | Somente destino exato | Ruim |
Tradução de endereços de porta e como ela se encaixa
A tradução de endereços de porta (PAT) é frequentemente usada como sinônimo de NAT, mas há uma distinção útil. Enquanto o NAT básico mapeia um IP privado para um IP público, a PAT mapeia vários IPs privados para um único IP público rastreando números de porta únicos para cada sessão. Quando seu roteador gerencia tráfego simultâneo de um laptop, um celular e uma smart TV, é a PAT que está fazendo o trabalho pesado.
A PAT é o motivo pelo qual seu roteador consegue diferenciar o streaming da Netflix na TV de uma sessão do navegador no laptop, mesmo que ambos pareçam vir do mesmo IP público. Cada conexão de saída recebe uma porta de origem única na tabela de tradução. Quando as respostas chegam, o roteador associa a porta de destino ao dispositivo interno correto.
É também por isso que aplicações que dependem de números de porta específicos podem falhar atrás de um roteador NAT. Se dois dispositivos tentam usar a porta de origem 5000, o roteador precisa remapear um deles - e se a aplicação receptora espera uma porta fixa, a conexão falha. Isso é um problema comum com VoIP baseado em SIP e alguns protocolos peer-to-peer mais antigos.
O problema do double NAT
O double NAT acontece quando dois roteadores realizam a tradução de endereços em série. Um cenário típico: seu provedor fornece um modem-roteador combo que já realiza NAT. Você então conecta seu próprio roteador a ele para melhorar a cobertura Wi-Fi ou ter mais controle. Agora, cada dispositivo da sua rede passa por duas camadas de NAT antes de chegar à Internet.
Os sintomas são sutis, mas frustrantes. Regras de redirecionamento de porta configuradas no seu roteador interno não têm efeito porque o roteador externo não sabe encaminhar o tráfego para ele. O UPnP pode funcionar de forma inconsistente. Clientes VPN podem não conseguir estabelecer túneis. Consoles de jogos quase sempre reportarão NAT estrito ou moderado, mesmo após configurar corretamente o roteador interno.
Você pode confirmar o double NAT comparando o endereço IP WAN exibido no painel de administração do seu roteador com seu IP público real. Se eles forem diferentes e o IP WAN estiver em uma faixa privada (10.x.x.x, 172.16-31.x.x ou 192.168.x.x), você está atrás de double NAT. Use nossa ferramenta de consulta de IP para encontrar seu IP público real e comparar com o endereço WAN informado pelo seu roteador.
A solução mais limpa é colocar o dispositivo do provedor em modo bridge, desativando sua função NAT para que apenas o seu roteador gerencie a tradução. Se o seu provedor não permite o modo bridge, você pode colocar seu roteador interno na DMZ do roteador externo, o que efetivamente dá a ele um caminho direto para a Internet.
Exemplo prático: console de jogos atrás de um roteador
Imagine que você conecta um PlayStation 5 a um roteador doméstico. O IP WAN do roteador é 203.0.113.45 (um IP público real do seu provedor). Seu console recebe o endereço privado 192.168.1.10.
Quando você inicia um jogo multiplayer, o console se conecta ao servidor de matchmaking do jogo em 198.51.100.22 na porta 3478. Seu roteador cria uma entrada PAT: interno 192.168.1.10:49152 mapeado para externo 203.0.113.45:49152. O servidor de matchmaking responde e a sessão funciona. Até aqui, tudo bem.
Agora o jogo tenta estabelecer uma conexão de voz peer-to-peer direta com outro jogador. O console desse jogador envia um pacote diretamente para 203.0.113.45:49153. Se o seu roteador usa NAT cone com restrição de endereço, ele verifica se 192.168.1.10 já se comunicou com o IP do outro jogador. Se o servidor de matchmaking os apresentou, sim, e a conexão é estabelecida. Se o seu roteador usa NAT simétrico, ele atribuiu uma porta externa diferente para cada fluxo de saída - então o pacote de entrada chega em uma porta que o roteador não reconhece e o descarta. O chat de voz falha silenciosamente.
A solução nesse caso é habilitar UPnP (para que o console possa solicitar um mapeamento de porta consistente), definir um IP privado estático para o console e adicionar uma regra de redirecionamento de porta, ou colocar o console na DMZ. Cada abordagem tem suas vantagens e desvantagens, abordadas na próxima seção.
Como melhorar seu tipo de NAT na prática
A solução certa depende da sua configuração específica e de quanto você está disposto a abrir mão em segurança em troca de conectividade. Aqui estão as opções mais práticas, ordenadas da menos para a mais invasiva.
1. Habilite UPnP no seu roteador
O Universal Plug and Play permite que aplicações solicitem automaticamente mapeamentos de porta ao seu roteador. A maioria dos roteadores domésticos oferece suporte a ele. Acesse o painel de administração do seu roteador (geralmente em 192.168.1.1 ou 192.168.0.1), encontre a configuração de UPnP em Avançado ou nas configurações de WAN e ative-a. Reinicie o dispositivo que precisa de um NAT melhor e verifique novamente. O UPnP é conveniente, mas apresenta riscos de segurança em redes com dispositivos não confiáveis - portanto, use-o apenas em redes domésticas confiáveis.
2. Configure o redirecionamento de porta estático
Atribua um IP privado estático ao dispositivo que você deseja melhorar (via reserva de DHCP no seu roteador) e crie uma regra de redirecionamento de porta que mapeie a porta externa necessária para o IP interno desse dispositivo. Isso é mais seguro do que o UPnP porque você controla exatamente quais portas estão abertas. Consulte a documentação da sua aplicação específica para saber quais portas ela precisa.
3. Resolva o double NAT
Como descrito acima, coloque o dispositivo do seu provedor em modo bridge ou coloque seu roteador na DMZ do dispositivo do provedor. Se você está avaliando ferramentas que dependem da rede, o double NAT é uma das primeiras coisas a descartar quando um produto se comporta de forma inconsistente em diferentes locais. Você também pode verificar se o seu endereço IP acabou em alguma lista de bloqueio por causa de roteamento mal configurado usando nossa ferramenta de verificação de blacklist de IP.
4. Solicite um IP público estático
Se o seu provedor atribui um IP dinâmico que muda periodicamente, o redirecionamento de porta consistente pode falhar. Um IP público estático tem um pequeno custo mensal na maioria dos provedores, mas torna o redirecionamento de porta confiável e simplifica as configurações de acesso remoto. Para empresas que usam ferramentas SaaS que exigem webhooks de entrada ou callbacks de API, isso geralmente vale o custo.
5. Considere o IPv6
O IPv6 elimina a necessidade de NAT porque cada dispositivo recebe um endereço globalmente único. IPv6 (RFC 8200) tem suporte crescente de provedores e sistemas operacionais. Se o seu provedor oferece IPv6, habilitá-lo no seu roteador pode resolver muitos problemas relacionados ao NAT em aplicações que suportam redes dual-stack. Verifique sua versão de IP atual e conectividade usando nossa ferramenta de endereço IP.
6. Use uma VPN com suporte a NAT traversal
Alguns protocolos VPN, incluindo WireGuard, lidam bem com NAT traversal e podem dar a dispositivos atrás de NAT estrito um caminho de conexão mais aberto. Isso é particularmente útil para trabalhadores remotos que se conectam a uma rede corporativa a partir de um ambiente doméstico com NAT restritivo. Lembre-se de que adicionar uma VPN aumenta a latência, o que importa para aplicações em tempo real. A documentação do WireGuard aborda o comportamento de NAT traversal em detalhes.
Dica rápida de diagnóstico: Se você suspeita que seu endereço IP está causando problemas de conectividade além do NAT, verifique se ele aparece em alguma lista de bloqueio baseada em DNS. Roteadores mal configurados e endereços compartilhados de provedores às vezes acabam sinalizados. Veja nosso guia sobre como remover seu IP de uma lista de bloqueio para um passo a passo completo.
Conclusão
Os tipos de NAT não são apenas um conceito abstrato de redes. Eles têm efeitos diretos e mensuráveis sobre se suas aplicações se conectam de forma confiável, como os serviços peer-to-peer se comportam e se suas regras de redirecionamento de porta realmente funcionam. Entender a diferença entre NAT full cone, com restrição de endereço e simétrico oferece uma estrutura concreta para diagnosticar problemas de conexão em vez de adivinhar. O cenário de double NAT por si só é responsável por um número surpreendente de chamados de suporte em produtos SaaS que dependem de conexões de entrada. Comece com as etapas de diagnóstico acima, identifique qual tipo de NAT e topologia você está usando e aplique a correção direcionada em vez de testar configurações aleatórias no roteador.
Verifique seu IP público e detalhes da conexão instantaneamente
Veja seu endereço IP público real, detecte double NAT e entenda exatamente como sua rede se apresenta para a Internet - tudo em uma ferramenta gratuita.
Experimente nossa ferramenta gratuita →
O NAT básico mapeia um IP privado para um IP público. A tradução de endereços de porta (PAT) mapeia vários IPs privados para um único IP público atribuindo números de porta únicos a cada sessão. A maioria dos roteadores domésticos usa PAT, por isso vários dispositivos conseguem compartilhar um único endereço IP público simultaneamente sem conflitos.
Compare o IP WAN exibido no painel de administração do seu roteador com seu IP público real (verifique usando uma ferramenta de consulta de IP). Se o IP WAN do seu roteador estiver dentro de uma faixa de endereços privados (10.x.x.x, 172.16-31.x.x ou 192.168.x.x) em vez de corresponder ao seu IP público, você está atrás de double NAT.
O UPnP pode mover você de NAT estrito para moderado ou aberto, permitindo que as aplicações solicitem mapeamentos de porta automaticamente. No entanto, ele só funciona se houver uma única camada de NAT. Se você tem double NAT, o UPnP no roteador interno não vai ajudar porque o roteador externo ainda bloqueia o tráfego de entrada não solicitado.
O NAT simétrico atribui uma porta externa única para cada conexão de saída distinta. Quando um par remoto tenta se conectar de volta usando a porta que observou, o roteador não tem nenhuma entrada correspondente e descarta o pacote. Dois dispositivos atrás de NAT simétrico não conseguem prever as atribuições de porta um do outro, tornando conexões peer-to-peer diretas impossíveis sem um servidor relay.
Para o tráfego IPv6, sim. O IPv6 fornece um endereço globalmente único para cada dispositivo, eliminando a necessidade de tradução de endereços. No entanto, a maioria das redes ainda carrega tráfego IPv4 junto com IPv6, então os problemas de NAT persistem para conexões IPv4 até que a Internet faça a transição completa - o que ainda está a anos de distância para a maioria dos ambientes.