Académique Documents
Professionnel Documents
Culture Documents
habilitacin de puertos y
USESDEFRITBR
Noviembre 2014
El principio de NAT
La conversin de direcciones de red o NAT se desarroll para resolver la falta de
direcciones IP con el protocolo IPv4 (dentro de poco tiempo el protocolo IPv6 resolver
este problema).
De hecho, en las direcciones IPv4 la cantidad de direcciones IP enrutables (que son nicas
en el mundo) no es suficiente para permitir que todos los equipos que lo requieran estn
conectados a Internet.
Por lo tanto, el principio de NAT consiste en utilizar una conexin de pasarela a Internet,
que tenga al menos una interfaz de red conectada a la red interna y al menos una interfaz de
red conectada a Internet (con una direccin IP enrutable) para poder conectar todos los
equipos a la red.
Es cuestin de crear, al nivel de la pasarela, una conversin de paquetes desde la red interna
hacia la red externa.
Por lo tanto, se configura cada equipo en la red que necesite acceso a Internet para que
utilice una pasarela de NAT (al especificar la direccin IP de la pasarela en el campo
"Gateway" [Pasarela] con sus parmetros TCP/IP). Cuando un equipo de red enva una
solicitud a Internet, la pasarela hace la solicitud en su lugar, recibe la respuesta y la enva al
equipo que hizo la solicitud.
Espacio de la direccin
La organizacin que administra el espacio de direcciones pblicas (direcciones IP
enrutables) es la Agencia de Asignacin de Nmeros de Internet (IANA, Internet Assigned
Number Authority). RFC 1918 define un espacio de direccin privada que permite que
cualquier organizacin asigne direcciones IP a equipos en su red interna sin correr el riesgo
de entrar en conflicto con una direccin IP pblica asignada por la IANA. Estas direcciones
conocidas como no enrutables corresponden a las siguientes series de direcciones:
Todos los equipos de una red interna, conectados a Internet a travs de un router y que no
posean una direccin IP pblica, deben utilizar una direccin que se encuentre dentro de
estas series. Para redes domsticas pequeas, generalmente se utiliza la serie de direcciones
comprendidas entre 192.168.0.1 y 192.168.0.255.
Conversin esttica
El principio de NAT esttica consiste en vincular una direccin IP pblica con una
direccin IP interna privada en la red. Por lo tanto, el router (o ms precisamente la
pasarela) permite que una direccin IP privada (por ejemplo 192.168.0.1) est vinculada
con una direccin IP enrutable pblica en Internet y lleva a cabo la conversin, en cualquier
direccin, al cambiar la direccin en el paquete IP.
Por consiguiente, la conversin de direcciones de red esttica permite que equipos de una
red interna estn conectados a Internet de manera transparente, pero no resuelve el
problema de falta de direcciones, en la medida en que n direcciones IP enrutables son
necesarias para conectar n equipos a la red interna.
Conversin dinmica
La NAT dinmica permite que diversos equipos con direcciones privadas compartan una
direccin IP enrutable (o un nmero reducido de direcciones IP enrutables). Entonces visto
desde afuera, todos los equipos de la red interna prcticamente poseen la misma direccin
IP. sta es la razn por la cual a veces se utiliza el trmino "enmascaramiento IP" para
indicar la conversin de direcciones de red dinmica.
Para poder "multiplexar" (compartir) las diferentes direcciones IP en una o varias
direcciones IP enrutables, la NAT dinmica utiliza la Conversin de direcciones por puerto
(PAT, Port Address Translation), es decir, la asignacin de un puerto de origen diferente
para cada solicitud, de manera que se pueda mantener una correspondencia entre las
solicitudes que provienen de la red interna y las respuestas de los equipos en Internet, todas
enviadas a la direccin IP del router.
Habilitacin de puertos
La conversin de direcciones de red slo permite solicitudes provenientes de la red interna
hacia la red externa, con lo cual es imposible que un equipo externo enve un paquete a un
equipo de la red interna. En otras palabras, los equipos de la red interna no pueden
funcionar como un servidor con respecto a la red externa.
Por esta razn, existe una extensin NAT llamada "habilitacin de puertos" o mapeo de
puertos que consiste en configurar la pasarela para enviar todos los paquetes recibidos en
un puerto particular a un equipo especfico de la red interna. Por lo tanto, si la red externa
necesita acceder a un servidor Web (puerto 80) que funciona en un equipo 192.168.1.2, ser
necesario definir una regla de habilitacin de puertos en la pasarela, con lo cual se
redirigirn todos los paquetes TCP recibidos en el puerto 80 al equipo 192.168.1.2.
Activacin de puertos
La mayora de las aplicaciones cliente-servidor realiza una solicitud a travs de un host
remoto en un puerto determinado y a su vez abre un puerto para recuperar los datos. Sin
embargo, ciertas aplicaciones utilizan ms de un puerto para intercambiar datos con el
servidor. ste es el caso, por ejemplo, del FTP, para el que se establece una conexin por el
puerto 21, pero los datos se transfieren por el puerto 20. Por lo tanto, con NAT, despus de
una solicitud de conexin en el puerto 21 de un servidor FTP remoto, la pasarela espera una
conexin en un solo puerto y rechazar la solicitud de conexin en el puerto 20 del cliente.
Existe un mecanismo derivado de la NAT llamado "activacin de puertos" que permite
autorizar la conexin con determinados puertos (habilitacin de puertos) si se completa una
condicin (solicitud). Por lo tanto, se trata de una habilitacin de puertos condicional que
permite que un puerto se abra slo cuando una aplicacin lo solicita. De esta manera, el
puerto no permanece permanentemente abierto.
es muy grande puede usarse solo una parte de direcciones pblicas para salir a Internet
desde la red privada. De esta manera simultneamente slo pueden salir a Internet con una
direccin IP tantos equipos como direcciones pblicas se hayan contratado. Esto es
necesario debido al progresivo agotamiento de las direcciones IPv4. Se espera que con el
advenimiento de IPv6 no sea necesario continuar con esta prctica.
ndice
[ocultar]
1 Funcionamiento
o 1.1 Esttica
o 1.2 Dinmica
o 1.3 Sobrecarga
o 1.4 Solapamiento
2 Tipos de NAT
3 NAT Simetrico
4 Ejemplo de Configuracin
5 Ejemplos de software NAT
6 Vase tambin
7 Enlaces de inters
Funcionamiento[editar]
El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultneas con un
dispositivo remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen
campos en los que se indica la direccin origen y destino. Esta combinacin de nmeros
define una nica conexin.
La mayora de los NAT asignan varias mquinas (hosts) privadas a una direccin IP
expuesta pblicamente. En una configuracin tpica, una red local utiliza unas direcciones
IP designadas privadas para subredes (RFC 1918). Un ruteador en esta red tiene una
direccin privada en este espacio de direcciones. El ruteador tambin est conectado a
Internet por medio de una direccin pblica asignada por un proveedor de servicios de
Internet. Como el trfico pasa desde la red local a Internet, la direccin de origen en cada
paquete se traduce sobre la marcha, de una direccin privada a una direccin pblica. El
ruteador sigue la pista de los datos bsicos de cada conexin activa (en particular, la
direccin de destino y el puerto). Cuando una respuesta llega al ruteador utiliza los datos de
seguimiento de la conexin almacenados en la fase de salida para determinar la direccin
privada de la red interna a la que remitir la respuesta.
Todos los paquetes de Internet tienen una direccin IP de origen y una direccin IP de
destino. En general, los paquetes que pasan de la red privada a la red pblica tendrn su
direccin de origen modificada, mientras que los paquetes que pasan a la red pblica de
regreso a la red privada tendrn su direccin de destino modificada. Existen
configuraciones ms complejas.
Solapamiento[editar]
Cuando las direcciones IP utilizadas en la red privada son direcciones IP pblicas en uso en
otra red, el encaminador posee una tabla de traducciones en donde se especifica el
reemplazo de stas con una nica direccin IP pblica. As se evitan los conflictos de
direcciones entre las distintas redes.
Tipos de NAT[editar]
Los dispositivos NAT no tienen un comportamiento uniforme y se ha tratado de clasificar
su uso en diferentes clases. Existen cuatro tipos de NAT:
NAT de cono completo (Full-Cone NAT). En este caso de comunicacin completa, NAT
mapeara la direccin IP y puerto interno a una direccin y puerto publico diferentes. Una
vez establecido, cualquier host externo puede comunicarse con el host de la red privada
enviando los paquetes a una direccin IP y puerto externo que haya sido mapeado. Esta
implementacin NAT es la menos segura, puesto que una atacante puede adivinar qu
puerto est abierto.
NAT de cono restringido (Restricted Cone NAT).En este caso de la conexin restringida, la
IP y puerto externos de NAT son abiertos cuando el host de la red privada quiere
comunicarse con una direccin IP especifica fuera de su red. El NAT bloquear todo trfico
que no venga de esa direccin IP especifica.
NAT de cono restringido de puertos (Port-Restricted Cone NAT) .En una conexin
restringida por puerto NAT bloquear todo el trfico a menos que el host de la red privada
haya enviado previamente trfico a una IP y puerto especifico, entonces solo en ese caso
esa IP:puerto tendrn acceso a la red privada
NAT Simtrico (Symmetric NAT). En este caso la traduccin de direccin IP privada a
direccin IP pblica depende de la direccin IP de destino donde se quiere enviar el
trfico.
SQAL
NAT Simetrico[editar]
Segn se encuentra en RFC 3489(seccin 5)[1] , de estos tipos de NAT que existen, NAT
simtrico es el ms difcil con el que trabajar. Esto es debido a que el mapeo entre IP y
puerto privado contra IP y puerto pblico no se conserva, es decir por cada requerimiento
saliente se asigna un puerto aleatorio y ste vara para cada comunicacin. En los tres
anteriores tipos de NAT, la direccin IP y el puerto interno de la comunicacin en el equipo
que realiza NAT se conservaba independientemente de la direccin: puerto externo del host
de destino, pero en este caso vara y adicionalmente conserva las restricciones del Port
Restricted Cone NAT. Por lo tanto cuando el host destino intenta enviar un paquete a la
direccin origen, el router NAT rechazara el paquete porque no reconoce al que enva el
paquete como un host autorizado a enviar a esa direccin. La ventaja del NAT simtrico,
es que varias mquinas internas con el mismo puerto origen, pueden establecer
comunicaciones al mismo tiempo y por este motivo, este tipo de NAT es una buena opcin
cuando varias mquinas internas salen por el mismo Gateway, el cual solo tiene una IP
pblica y adicionalmente las aplicaciones de estos equipos originen un requerimiento desde
el mismo puerto. Este tipo de NAT es comn en aplicaciones o dispositivos que
implementan el protocolo SIP, donde el puerto origen y destino tpicamente es el 5060. Sin
embargo en un mtodo reciente de clasificacin, explicado por RFC 4787 . Se distinguen
los tipos de NAT por dos propiedades: segn la forma de mapear y segn la forma de
filtrar.Y pueden ser de tres tipos: Independiente del punto destino (Endpoint-Independent),
dependiente de la direccin (Address-Dependent), o dependiente de la direccin y del
puerto (Address and Port-Dependent). Con este nuevo mtodo de clasificacin, NAT
Simtrico en realidad sera un NAT que mapea dependiendo de la direccin y el puerto.
Ejemplo de Configuracin[editar]
En esta seccin del artculo, se indicar la forma bsica(s) de la configuracin de un NAT
en un router. Los pasos usados en esta seccin siguen la forma de programar un servidor
NAT en un router Cisco.
Conseguir un router real podra no ser fcil para llevar a cabo esta experiencia, sin
embargo, puede optar por utilizar un simulador de router real, como el Cisco Packet Tracer.
Eso supone que en esta muestra, contamos con 3 routers, un Switch y tres computadores.
NAT con sobrecarga (conexiones del equipo desde Internet a la red con ips'privadas)
1. Conecte los dispositivos entre s por los puertos adecuados en cada caso (ethernet, ATM,
Serial, etc.)
2. Asumimos que usted sabe enrutamiento IP y cmo hacer converger la red usando
protocolo de enrutamientos. RIP se recomienda para configuraciones ms sencillas y
rpidas.
3. Parametrizaciones del ejemplo:
Router(config)#interface ethernet0
Router(config)#ip nat outside
Router(config)#interface ethernet1
Router(config)#ip nat inside