Il NAT (Network Address Translation) è una tecnica che il tuo router utilizza per permettere a molti dispositivi su una rete privata di condividere un unico indirizzo IP pubblico. Ogni dispositivo ha un indirizzo privato (come 192.168.x.x) che non è utilizzabile su internet pubblico, quindi quando un dispositivo si connette all'esterno, il router riscrive il pacchetto per usare il suo indirizzo IP pubblico e memorizza la mappatura, poi traduce le risposte al dispositivo corretto. Il NAT è il motivo per cui il tuo telefono, laptop e TV possono essere tutti online attraverso una connessione domestica — e una delle principali ragioni per cui internet non è esaurito di indirizzi IPv4 anni fa.

Quali sono i tipi di NAT?

I più comuni: Il NAT statico mappa un IP privato a un IP pubblico permanentemente. Il NAT dinamico mappa gli IP privati a un pool di IP pubblici secondo necessità. Il PAT (Port Address Translation, chiamato anche NAT overload) mappa molti IP privati a un IP pubblico usando porte diverse — questo è ciò che fanno i router domestici. C'è anche la direzione in entrata, DNAT (destination NAT), usata nel port forwarding per inviare traffico che arriva su una porta pubblica a un dispositivo interno specifico. La maggior parte delle configurazioni domestiche si basa su PAT per l'uscita e sul port forwarding (DNAT) per qualsiasi servizio in entrata.

Cos'è il CGNAT e perché è importante?

Il CGNAT (Carrier-Grade NAT) è un secondo livello di NAT gestito dal tuo ISP, dove molti clienti condividono un pool di IP pubblici. Significa che non hai un vero IP pubblico tuo — quindi anche il port forwarding sul tuo router non può renderti raggiungibile, perché l'indirizzo pubblico non è sotto il tuo controllo. Il CGNAT è sempre più comune su mobile e alcune fibre. Se sei dietro di esso, l'auto-ospitazione da casa è effettivamente bloccata, e la soluzione pratica è un VPS con il proprio IP pubblico.

Cos'è il NAT? Traduzione degli Indirizzi di Rete Spiegata (2026)

Q: Come funziona il NAT?

Quando un dispositivo sulla tua rete invia traffico a internet, il router sostituisce l'indirizzo di origine privato (e spesso la porta) con il suo indirizzo IP pubblico e una porta unica, registrando la traduzione in una tabella. La destinazione vede solo l'indirizzo IP pubblico del router. Quando la risposta ritorna, il router consulta la tabella e la inoltra al dispositivo e alla porta interna corretti. Questa forma basata su porta (PAT, o 'NAT overload') è ciò che permette a un unico IP pubblico di servire dozzine di dispositivi contemporaneamente. L'intero processo è invisibile per te nell'uso normale.

Q: Perché il NAT rende più difficile l'auto-ospitazione?

Perché il NAT è costruito per consentire connessioni in uscita, non quelle in entrata non richieste. I dispositivi dietro il NAT possono raggiungere liberamente internet, ma internet non può raggiungerli direttamente — il router non ha una mappatura per una connessione in entrata inattesa, quindi la scarta. Per ospitare un servizio (un VPN, un server di gioco, un NAS), devi creare quella mappatura tu stesso con il port forwarding. Il NAT è effettivamente una porta a senso unico che è ottima per la sicurezza ma scomoda quando vuoi essere raggiungibile dall'esterno.

Hai un telefono, un laptop, una TV e una console di gioco tutti online contemporaneamente — attraverso una singola connessione internet con un solo indirizzo pubblico. La tecnologia che rende possibile tutto ciò è il NAT (Network Address Translation). È invisibile fino a quando non provi a ospitare qualcosa da casa, dove improvvisamente diventa l'ostacolo. Questa guida spiega cos'è il NAT, come funziona, i tipi e il problema del CGNAT che blocca l'auto-ospitazione.

Cos'è il NAT

NAT (Network Address Translation) permette a molti dispositivi su una rete privata di condividere un unico indirizzo IP pubblico. Ogni dispositivo ha un indirizzo privato (come 192.168.x.x) che non può essere utilizzato su internet pubblico. Quando un dispositivo si connette all'esterno, il tuo router riscrive il pacchetto per usare il suo indirizzo IP pubblico, memorizza la mappatura e traduce le risposte al dispositivo corretto.

Il NAT è il motivo per cui tutti i tuoi dispositivi condividono una connessione domestica — e una delle principali ragioni per cui IPv4 non è esaurito anni fa.

Come funziona

Quando un dispositivo invia traffico all'esterno, il router sostituisce l'indirizzo e la porta di origine privati con il suo indirizzo IP pubblico e una porta unica, registrando la traduzione in una tabella. La destinazione vede solo l'indirizzo IP pubblico del router. Quando la risposta ritorna, il router consulta la tabella e la inoltra al dispositivo interno corretto.

Questa forma basata su porta — PAT ("NAT overload") — è ciò che permette a un unico IP pubblico di servire dozzine di dispositivi contemporaneamente, in modo invisibile.

I tipi

NAT statico — un IP privato ↔ un IP pubblico, permanentemente.
NAT dinamico — gli IP privati si mappano a un pool di IP pubblici secondo necessità.
PAT / NAT overload — molti IP privati condividono un IP pubblico tramite porte diverse (ciò che fanno i router domestici).
DNAT (destination NAT) — la direzione in entrata, usata nel port forwarding per instradare una porta pubblica in entrata a un dispositivo interno specifico.

Un editor di codice aperto su uno schermo

Aperto, moderato, rigido: tipi di NAT nei giochi e nelle chiamate

Le console di gioco e le app VoIP riportano un "tipo di NAT" — lo stesso NAT, descritto da quanto facilmente i peer possono raggiungerti:

Aperto (Tipo 1) — il tuo dispositivo ha un IP pubblico diretto o un inoltro completo; tutto si connette, ideale per ospitare partite e chat di gruppo.
Moderato (Tipo 2) — NAT domestico standard con alcune porte aperte; funziona per la maggior parte, con occasionali attriti nel matchmaking.
Rigido (Tipo 3) — NAT restrittivo (o CGNAT) che blocca la maggior parte delle connessioni in entrata; ricevi avvisi di connessione, non riesci a ospitare e a volte non senti i membri del gruppo.

Passare da rigido ad aperto di solito richiede il port forwarding o l'abilitazione di UPnP — a meno che il CGNAT non sia di mezzo, nel qual caso nessuna modifica al router aiuta.

Perché il NAT rende più difficile l'auto-ospitazione

Il NAT è progettato per consentire connessioni in uscita, non quelle in entrata non richieste. I tuoi dispositivi raggiungono liberamente internet, ma internet non può raggiungerli — il router non ha una mappatura per una connessione in entrata inattesa, quindi la scarta.

Per ospitare un servizio (un VPN, un server di gioco, un NAS), devi creare quella mappatura tu stesso con il port forwarding e assegnargli un indirizzo stabile con DNS dinamico. Il NAT è una porta a senso unico: ottimo per la sicurezza, scomodo quando vuoi essere raggiungibile.

Il muro del CGNAT

CGNAT (Carrier-Grade NAT) è un secondo livello di NAT gestito dal tuo ISP, dove molti clienti condividono un pool di IP pubblici. Il risultato: non hai un vero IP pubblico tuo, quindi anche il port forwarding non può renderti raggiungibile — l'indirizzo pubblico non è sotto il tuo controllo. È sempre più comune su mobile e alcune fibre.

Se sei dietro CGNAT, l'auto-ospitazione da casa è effettivamente bloccata. La soluzione pulita è un VPS con il proprio IP pubblico: un VPS Contabo a €4.99/mese aggira completamente il NAT con un indirizzo pubblico permanente — vedi cos'è un VPS.

Come capire se sei dietro CGNAT

Un controllo di 30 secondi: trova l'IP WAN del tuo router (nella sua pagina di amministrazione) e confrontalo con quello che mostra un sito "qual è il mio IP". Se differiscono, il tuo traffico viene nuovamente NATato a monte — sei dietro CGNAT. Un altro indizio è un IP WAN nel range 100.64.0.0/10 (il blocco di indirizzi riservato specificamente per il NAT del carrier). Puoi anche chiedere al tuo ISP un IP pubblico/statico — alcuni lo concedono gratuitamente o per una piccola tariffa, evitando del tutto la necessità di un relay.

Raggiungere casa senza un IP pubblico

Se non puoi ottenere un IP pubblico e non vuoi un VPS, strumenti overlay/mesh perforano il NAT per te: mesh basate su WireGuard (come Tailscale o NetBird auto-ospitato) e tunnel inversi (come Cloudflare Tunnel) stabiliscono la connessione in uscita da entrambe le estremità, quindi nessun lato ha bisogno di una porta in entrata aperta. Sono la soluzione pratica quando il CGNAT blocca il classico port forwarding — vedi auto-ospitazione con DNS dinamico per il percorso IP pubblico e NetBird per il percorso mesh.

In sintesi

Il NAT permette a un'intera rete di condividere un IP pubblico traducendo indirizzi privati — invisibile ed essenziale per la navigazione quotidiana, e il motivo per cui IPv4 è durato così a lungo. Ma è una porta a senso unico: consente l'uscita, blocca l'entrata non richiesta, quindi l'auto-ospitazione richiede il port forwarding. E se il tuo ISP aggiunge CGNAT, nessuna impostazione del router ti rende raggiungibile — un VPS con un vero IP pubblico è la soluzione.

Guida editoriale basata su come funziona il NAT (PAT, statico/dinamico, DNAT) e l'impatto del CGNAT sull'auto-ospitazione. I link commerciali portano l'attributo rel="sponsored nofollow"; può applicarsi una commissione affiliata senza costi aggiuntivi per te.

★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→