Diferenca ip publico privado
Diferenca ip publico privado: RFC 1918, faixas reservadas, como funciona o NAT, roteamento e casos de uso de cada tipo de endereco IP na rede brasileira.
A diferença entre IP público e IP privado é direta: o IP público identifica sua conexão na internet e é visível por qualquer servidor externo; o IP privado existe apenas dentro da rede local e nunca trafega na internet aberta. Essa divisão foi formalizada pela RFC 1918 (1996) e é o motivo pelo qual bilhões de dispositivos no mundo podem usar o endereço 192.168.0.1 ao mesmo tempo sem conflito. A maioria dos brasileiros tem ainda uma terceira camada: o CGNAT do provedor, definido pela RFC 6598, que coloca um endereço na faixa 100.64.0.0/10 entre o roteador do cliente e o IP público real. Descubra seu IP público agora na página Meu IP.
Neste artigo
Tabela comparativa: IP público vs IP privado
| Característica | IP Público | IP Privado |
|---|---|---|
| Atribuição | Pelo ISP via DHCP ou configuração estática | Pelo roteador local via DHCP |
| Unicidade | Único globalmente (em teoria) | Único apenas na rede local |
| Roteamento na internet | Roteável globalmente | Não roteável fora da LAN |
| Faixas definidas | Qualquer faixa não reservada | 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 (RFC 1918) |
| Visibilidade externa | Visível por servidores externos | Invisível fora da LAN |
| NAT necessário? | Não (é o IP externo) | Sim, para acessar a internet |
| Custo | Incluído no plano ou adicional (IP fixo) | Gratuito (interno) |
| Exemplos típicos de uso | Servidor web, e-mail, VPN, câmera remota | PC, impressora, celular em casa |
RFC 1918: a origem do endereçamento privado
A RFC 1918 (Y. Rekhter, B. Moskowitz, D. Karrenberg, G. J. de Groot e E. Lear, fevereiro de 1996, "Address Allocation for Private Internets") reservou três blocos de endereços IPv4 para uso em redes privadas, sem necessidade de registro global:
| Faixa CIDR | Endereços disponíveis | Uso típico |
|---|---|---|
10.0.0.0/8 |
16.777.216 | Redes corporativas grandes, data centers, provedores internamente |
172.16.0.0/12 |
1.048.576 | Redes de porte médio, provedores em redes internas |
192.168.0.0/16 |
65.536 | Roteadores residenciais (192.168.0.1 e 192.168.1.1 são os gateways mais comuns do mundo) |
A ideia central da RFC 1918 foi criar dois domínios separados: o espaço global (internet), onde endereços são únicos e roteáveis mundialmente, e o espaço privado (intranet), onde os mesmos endereços podem ser reutilizados por qualquer organização sem conflito externo. Isso aliviou o esgotamento do IPv4 por quase três décadas.
Um detalhe que causa confusão: a RFC 1918 não garante que endereços privados são "seguros" ou "inacessíveis". Ela apenas especifica que roteadores da internet não devem rotear esses prefixos. Dentro de uma rede privada, os endereços 192.168.x.x são perfeitamente visíveis para qualquer dispositivo conectado à mesma LAN.
Como o NAT conecta os dois mundos
NAT (Network Address Translation) é o mecanismo que permite que dispositivos com IP privado acessem a internet. Quando seu notebook em 192.168.1.100 acessa um servidor web, o roteador substitui o IP de origem pelo IP público da interface WAN e anota a tradução numa tabela de estado (origem privada:porta original → IP público:porta nova). Quando a resposta chega, o roteador consulta essa tabela e entrega o pacote ao dispositivo correto.
A variante mais comum é o NAT masquerade, também chamado de NAPT (Network Address and Port Translation). Vários dispositivos compartilham um único IP público usando portas diferentes para distinguir as sessões. Por exemplo: notebook usa a porta externa 50001, celular usa 50002, tablet usa 50003, todos atrás do mesmo IP público.
O NAT tem limitações concretas:
- Dificulta conexões entrantes. Para acessar um servidor em casa (câmera, Minecraft, servidor SSH), você precisa configurar port forwarding manual no roteador.
- Complica protocolos P2P e jogos online que precisam de NAT aberto, como alguns títulos de PlayStation e Xbox.
- Cria estado que consome memória e CPU no roteador. Em roteadores domésticos com tabelas NAT saturadas, a latência aumenta.
- Dificulta rastreabilidade jurídica: um único IP público pode corresponder a dezenas de conexões diferentes ao mesmo tempo.
CGNAT: a terceira camada no Brasil
CGNAT (Carrier-Grade NAT) vai além do NAT doméstico. O provedor coloca um NAT entre os roteadores dos clientes e o pool de IPs públicos, compartilhando um único IP público entre dezenas ou centenas de assinantes simultaneamente.
O espaço de endereços intermediário no CGNAT é a faixa 100.64.0.0/10, definida pela RFC 6598 (2012, "IANA-Reserved IPv4 Prefix for Shared Address Space") especificamente para esse propósito. Essa faixa é distinta dos endereços privados RFC 1918 para evitar conflitos quando a rede do provedor e a rede do cliente usam o mesmo espaço de endereçamento.
| Camada | Endereço típico | Faixa | Onde fica |
|---|---|---|---|
| LAN doméstica | 192.168.1.100 | RFC 1918 (192.168.0.0/16) | Interface Wi-Fi do dispositivo |
| WAN do roteador | 100.64.20.5 | RFC 6598 (100.64.0.0/10) | Interface WAN do roteador doméstico |
| IP público | 187.32.45.100 | Público (LACNIC) | Roteador CGNAT do provedor |
O impacto prático do CGNAT no Brasil:
- Impossibilidade de hospedar serviços em casa sem VPS externo ou túnel reverso (como ngrok ou Cloudflare Tunnel).
- NAT duplo que dificulta jogos online com requisito de NAT aberto.
- Dificuldade para VPNs baseadas em UDP que precisam de IP fixo para o endpoint.
- Necessidade de incluir porta de origem nos logs de conexão para identificação judicial de usuários específicos.
IP fixo vs dinâmico
Independentemente de ser público ou privado, um endereço IP pode ser fixo (sempre o mesmo) ou dinâmico (muda a cada reconexão ou periodicamente). Os conceitos são ortogonais:
| Tipo | Público ou privado? | Quem usa | Para que serve |
|---|---|---|---|
| IP público dinâmico | Público | Maioria dos clientes residenciais sem CGNAT | Navegação normal |
| IP público fixo | Público | Empresas, servidores, câmeras remotas | Hospedar serviços, VPN corporativa |
| IP privado dinâmico | Privado | Todos os dispositivos da LAN doméstica | Navegação doméstica, impressora, celular |
| IP privado fixo | Privado | Servidores internos, impressoras corporativas | Endereçamento previsível para regras de firewall |
Provedores brasileiros como Vivo, Claro e TIM oferecem IP público fixo como adicional pago nos planos de empresa e, em alguns casos, em planos residenciais. A Anatel não obriga ISPs a oferecer IP fixo em planos básicos residenciais. Para usuários em CGNAT que precisam de acesso remoto sem IP fixo, soluções como DNS dinâmico (DDNS) com serviços como No-IP ou DuckDNS resolvem parcialmente o problema para IP dinâmico público, mas não funcionam com CGNAT.
NAT como barreira: o que protege e o que não protege
O NAT cria proteção implícita contra conexões entrantes não solicitadas. Sem port forwarding configurado, não existe como um atacante externo iniciar uma conexão direta com um dispositivo atrás de NAT. O roteador descarta pacotes entrantes que não correspondem a nenhuma sessão existente na tabela de estado.
Mas o NAT não é um firewall e não protege contra vários vetores de ataque reais:
- Malware que inicia conexões de dentro para fora. Uma vez instalado num dispositivo da rede interna, o malware usa o NAT normal (conexão de saída) para se comunicar com o servidor de comando. O NAT não bloqueia isso.
- Ataques via web e e-mail. Phishing, downloads maliciosos e exploits de browser não precisam de conexão entrante. Chegam como tráfego de resposta a uma requisição feita pelo próprio dispositivo.
- Vulnerabilidades no próprio roteador. Se o firmware do roteador tem falha, o atacante pode comprometer o gateway e a partir dele acessar qualquer dispositivo da rede interna sem precisar de port forwarding.
- UPnP mal configurado. Muitos roteadores domésticos têm UPnP ativo por padrão, permitindo que qualquer software da rede interna solicite abertura de portas automaticamente, sem confirmação do usuário.
Marco Civil e logs em CGNAT
O artigo 13 da Lei 12.965/2014 (Marco Civil da Internet) obriga provedores de acesso à internet a manter registros de conexão sob sigilo por um ano. O registro deve identificar a conexão de cada usuário: data, hora, duração e endereço IP usado.
Em ambientes com CGNAT, o IP público por si só não identifica o usuário: dezenas de assinantes compartilham o mesmo endereço ao mesmo tempo. Para que o log seja útil em investigações judiciais, o provedor precisa registrar também a porta de origem usada pelo assinante específico. Sem a porta, é matematicamente impossível distinguir qual dos centenas de usuários atrás do mesmo IP fez uma conexão específica.
Esse requisito técnico gerou tensão no setor. Provedores precisam armazenar volumes muito maiores de dados de log quando operam CGNAT: em vez de um registro por IP por sessão, precisam registrar IP público + porta de origem + IP CGNAT do roteador do cliente + timestamp. O CGI.br publicou recomendações técnicas detalhando como implementar logs de CGNAT compatíveis com o Marco Civil.
Sob o CGNAT, a identificação de um usuário em investigações segue um processo em dois passos: primeiro o provedor identifica qual assinante estava usando o IP CGNAT naquele momento (via o IP na faixa 100.64.0.0/10 e a porta), depois cruza com o cadastro do contrato. Sem o log de porta, o segundo passo é impossível, e provedores respondem a intimações judiciais informando a impossibilidade de identificação.
IP privado em IPv6
No IPv6, o conceito de endereços privados é diferente do IPv4. Como o espaço de 128 bits é praticamente ilimitado, não há necessidade de reutilizar endereços entre redes: cada dispositivo recebe um endereço global único. A RFC 1918 não se aplica ao IPv6.
O que existe em IPv6 são endereços link-local (fe80::/10), usados apenas para comunicação dentro do mesmo segmento de rede (equivalentes funcionalmente aos endereços APIPA do IPv4, na faixa 169.254.0.0/16). Endereços link-local não são roteáveis e são gerados automaticamente pelo sistema operacional para cada interface.
Existe também a faixa de endereços locais únicos (ULA, fc00::/7, definida pela RFC 4193), que cumpre papel similar ao RFC 1918 do IPv4: endereços roteáveis dentro de uma organização mas não anunciáveis na internet global. Os prefixos ULA mais comuns começam com fd, seguido de um identificador aleatório de 40 bits.
Contexto brasileiro: faixas públicas e CGNAT
O Brasil tem blocos de endereços IPv4 públicos distribuídos principalmente nas faixas 177.0.0.0/8, 187.0.0.0/8, 189.0.0.0/8, 191.0.0.0/8 e 200.0.0.0/8, todas alocadas pela LACNIC para a região da América Latina. Se o IP exibido na página Meu IP começa com um desses octetos, é um endereço público brasileiro.
Em IPv6, o bloco brasileiro é o 2804::/12. Um IP começando com 2804: é um endereço IPv6 público alocado para a região LACNIC, muito provavelmente no Brasil.
A grande maioria dos usuários residenciais brasileiros tem IP dinâmico com CGNAT. Isso significa que o IP exibido na página Meu IP é o IP do roteador CGNAT do provedor, não um IP exclusivo do assinante. Vários outros clientes da mesma operadora, na mesma região, compartilham esse endereço ao mesmo tempo.
Provedores como Vivo e Claro oferecem planos com IP fixo público como adicional, relevante para empresas que hospedam servidores internos, usam VPN corporativa com endpoint fixo ou precisam de câmeras de segurança acessíveis remotamente. Para clientes em CGNAT que não querem pagar por IP fixo, soluções como Cloudflare Tunnel ou ZeroTier oferecem acesso remoto sem IP público fixo.
Perguntas frequentes sobre IP público e privado
Qual a diferença entre IP público e IP privado?
O IP público é atribuído pelo provedor de internet e é visível na internet; é roteável globalmente e pode ser único por assinante ou compartilhado via CGNAT. O IP privado é usado dentro de redes locais (RFC 1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) e não é roteado na internet aberta. A comunicação entre a rede privada e a internet passa pelo NAT no roteador, que traduz o IP privado para o público.
Quais são as faixas de IP privado?
As três faixas definidas pela RFC 1918 são: 10.0.0.0/8 (16 milhões de endereços, tipicamente em redes corporativas grandes), 172.16.0.0/12 (1 milhão de endereços, redes médias e provedores internamente) e 192.168.0.0/16 (65 mil endereços, o padrão absoluto em roteadores residenciais). Qualquer dispositivo com IP nessas faixas está em rede privada.
Como descobrir meu IP público?
Acesse a página Meu IP deste site. O endereço exibido é o IP público que os servidores externos enxergam na sua conexão. Se estiver em CGNAT, esse IP é compartilhado com outros assinantes do provedor. Você também pode digitar "meu ip" no Google, que exibe o IP público na SERP.
IP privado pode ser igual em casas diferentes?
Pode. A RFC 1918 define faixas para uso interno sem exigência de unicidade global. Dois roteadores domésticos podem usar identicamente 192.168.1.1 como gateway; eles só não conseguem se comunicar diretamente pela internet usando esses endereços. O roteador de cada casa mapeia sua rede privada para o IP público exclusivo (ou CGNAT) antes de rotear para a internet.
O que é CGNAT e como ele afeta minha conexão?
CGNAT (Carrier-Grade NAT, RFC 6598) é quando o provedor compartilha um único IP público entre múltiplos assinantes. Sua rede local tem IP privado 192.168.x.x; o roteador recebe um IP na faixa 100.64.0.0/10 (espaço CGNAT); apenas o roteador do provedor tem o IP público real. CGNAT impede abertura de portas para hospedar serviços em casa e pode afetar jogos online com NAT estrito.
Como saber se estou em CGNAT?
Compare o IP exibido na interface WAN do seu roteador com o IP público mostrado na página Meu IP deste site. Se forem diferentes, você está em CGNAT. Outra forma: veja se o IP da WAN do roteador começa com 100.64 a 100.127 (faixa RFC 6598). Esse prefixo é exclusivo para o espaço CGNAT dos provedores.
IP privado é mais seguro que IP público?
O NAT bloqueia conexões entrantes não solicitadas, o que protege dispositivos com IP privado de ataques diretos pela internet. Mas isso não equivale a segurança completa. Malware instalado localmente usa conexões de saída normais. Outros dispositivos na mesma LAN têm acesso total. Vulnerabilidades no roteador podem comprometer toda a rede. IP privado com NAT é uma camada de proteção, não uma solução de segurança completa.
O que é port forwarding e quando preciso configurar?
Port forwarding é a configuração que diz ao roteador qual dispositivo da rede interna deve receber conexões que chegam numa porta específica do IP público. Necessário para hospedar servidores (web, jogo, câmera), fazer VPN sem cliente de terceiros, ou qualquer serviço que precise aceitar conexões de fora. Em CGNAT, o port forwarding no roteador doméstico não funciona porque o IP público real está no roteador do provedor, fora do alcance do cliente.
A diferença entre IP público e privado é o alicerce de qualquer entendimento sobre como a internet funciona nas residências e empresas brasileiras. A RFC 1918 definiu o espaço privado em 1996; a RFC 6598 criou o espaço CGNAT em 2012 como resposta ao esgotamento do IPv4. Esses dois padrões explicam por que o IP exibido na página Meu IP muitas vezes difere do IP visível na interface do roteador doméstico. Para entender a transição que elimina a necessidade do NAT, leia o artigo IPv4 vs IPv6.
Ver IP publico
Leituras Relacionadas
- Diferenca IP fixo dinamico — Diferenca IP fixo dinamico explicada: DHCP vs estatico, custo extra nas operadoras brasileiras, CGNAT e quando vale pagar por IP fixo.
- O que e CGNAT — O que e CGNAT: RFC 6598, faixa 100.64.0.0/10, NAT compartilhado pelo provedor, impacto em jogos e hospedagem no Brasil, e como saber se voce esta em CGNAT.
- O que e IP — O que e IP: entenda o Internet Protocol, a diferenca entre IPv4 e IPv6, IP publico e privado, historia ARPANET e RFC 791. Explicacao completa com exemplos.