Quando vários hosts clientes estão atrás de um NAT compartilhando um endereço IP 'externo', como vários clientes se conectam simultaneamente ao mesmo endereço?

Eu interpretei sua pergunta como: "Quando vários hosts de clientes estão atrás de um NAT e compartilham um único endereço IP 'externo', como é possível que vários clientes se conectem ao mesmo servidor na mesma porta?"

Isso é possível exatamente pelo mesmo mecanismo, que também permite que um único host estabeleça várias conexões com o mesmo serviço. (Por exemplo, seu navegador da Web frequentemente usa 2 a 3 conexões HTTP simultâneas para o mesmo servidor da Web.)

As conexões TCP e os fluxos UDP são sempre identificados por um par de portas. Cada pacote TCP ou UDP carrega dois campos: a porta 'origem' e a porta 'destino'.

Em pacotes de um cliente, a porta 'destino' contém a porta de serviço atribuída pela IANA (por exemplo, 80 para HTTP), mas a porta 'origem' é automaticamente atribuída pelo sistema operacional de forma que o par {origem, destino} seja sempre exclusivo. Por exemplo, o cliente pode usar as portas {54794, 80} para a primeira conexão HTTP e {48973, 80} para a segunda. O servidor responde com origem e destino invertidos – seus pacotes teriam {80, 54794} ou {80, 48973}.

Quando você tem vários hosts clientes por trás de um NAT, o processo permanece o mesmo e o dispositivo NAT usa a combinação de portas para reconhecer qual cliente fez qual conexão. E se vários dispositivos clientes selecionarem portas idênticas, o dispositivo NAT converterá a porta de origem para garantir que o par ainda seja exclusivo no lado da WAN.

Outra versão da mesma resposta (menos clara, mas com exemplos): Como um servidor de internet responde a uma solicitação de um IP privado?

_{Alguns outros protocolos baseados em IP (por exemplo, SCTP) também possuem portas que funcionam exatamente da mesma maneira.}

_{O QUIC usa o encapsulamento UDP para essa finalidade – as portas QUIC são, na verdade, portas UDP.}

_{O ICMP Echo (também conhecido como ping) possui um campo de ID exclusivo, que serve ao mesmo propósito da "porta de origem". (Você poderia dizer que os campos de tipo/código ICMP servem ao propósito da "porta de destino".)}

_{O IPsec ESP tem IDs de associação de segurança, mas até onde eu sei eles geralmente não são rastreados por NATs - os dispositivos NAT geralmente tratam o ESP como se não tivesse nada como portas e permitem apenas que um único cliente se conecte a um determinado servidor (ou mesmo pior, alguns dispositivos NAT permitem apenas que um único cliente use o ESP por vez, ponto final). O encapsulamento UDP é usado para combater esse problema.}

Correto. Pense nisso ao contrário porque não é permitido. Se eu atingir um IP público (digamos, 74.32.xx:5000) que tenha 2 máquinas usando a mesma porta internamente, se ambas forem encaminhadas no nível do roteador, como ele saberá para qual delas rotear? A resposta é ter um proxy reverso dentro da rede ou balanceador de carga dependendo do caso de uso para delegar o tráfego de entrada. Um balanceador de carga seria capaz de atender a um aplicativo em execução na mesma porta e um proxy reverso poderia ler cabeçalhos de pacotes e enviar os dados para o servidor interno correto.

Exemplo de proxy reverso : digamos que você tenha 2 sites executando blue.com e red.com e ambos estejam hospedados em servidores internos, mas compartilhem seu IP público e ambos sejam executados na porta 80. A solicitação recebida atingiria o roteador e seria enviada para o proxy reverso que então diria "o usuário pediu red.com" e então passaria a solicitação para o servidor web que está hospedando red.com internamente.

Balanceador de carga Exemplo : 2 servidores internos compartilham a mesma porta hospedando o mesmo aplicativo. O balanceador de carga recebe solicitações de entrada e as envia para o servidor que é o tráfego menos ocupado OU pode ser configurado para sempre enviar para um servidor, mas se ele parar de responder, redirecione para o outro servidor como um failover.