NAT- Conversin de direcciones de red,

habilitacin de puertos y
USESDEFRITBR
Noviembre 2014

El principio de NAT
La conversin de direcciones de red o NAT se desarroll para resolver la falta de
direcciones IP con el protocolo IPv4 (dentro de poco tiempo el protocolo IPv6 resolver
este problema).
De hecho, en las direcciones IPv4 la cantidad de direcciones IP enrutables (que son nicas
en el mundo) no es suficiente para permitir que todos los equipos que lo requieran estn
conectados a Internet.
Por lo tanto, el principio de NAT consiste en utilizar una conexin de pasarela a Internet,
que tenga al menos una interfaz de red conectada a la red interna y al menos una interfaz de
red conectada a Internet (con una direccin IP enrutable) para poder conectar todos los
equipos a la red.

Es cuestin de crear, al nivel de la pasarela, una conversin de paquetes desde la red interna
hacia la red externa.
Por lo tanto, se configura cada equipo en la red que necesite acceso a Internet para que
utilice una pasarela de NAT (al especificar la direccin IP de la pasarela en el campo
"Gateway" [Pasarela] con sus parmetros TCP/IP). Cuando un equipo de red enva una
solicitud a Internet, la pasarela hace la solicitud en su lugar, recibe la respuesta y la enva al
equipo que hizo la solicitud.

Debido a que la pasarela oculta completamente las direcciones internas en la red, el

mecanismo de conversin de direcciones de red brinda una funcin segura. De hecho, para
un observador externo de la red, todas las solicitudes parecen provenir de la direccin IP de
pasarela.

Espacio de la direccin
La organizacin que administra el espacio de direcciones pblicas (direcciones IP
enrutables) es la Agencia de Asignacin de Nmeros de Internet (IANA, Internet Assigned
Number Authority). RFC 1918 define un espacio de direccin privada que permite que
cualquier organizacin asigne direcciones IP a equipos en su red interna sin correr el riesgo
de entrar en conflicto con una direccin IP pblica asignada por la IANA. Estas direcciones
conocidas como no enrutables corresponden a las siguientes series de direcciones:

Clase A: desde 10.0.0.0 hasta 10.255.255.255;

Clase B: desde 10.16.0.0 hasta 172.31.255.255;
Clase C: desde 192.168.0.0 hasta 192.168.255.55

Todos los equipos de una red interna, conectados a Internet a travs de un router y que no
posean una direccin IP pblica, deben utilizar una direccin que se encuentre dentro de
estas series. Para redes domsticas pequeas, generalmente se utiliza la serie de direcciones
comprendidas entre 192.168.0.1 y 192.168.0.255.

Conversin esttica
El principio de NAT esttica consiste en vincular una direccin IP pblica con una
direccin IP interna privada en la red. Por lo tanto, el router (o ms precisamente la
pasarela) permite que una direccin IP privada (por ejemplo 192.168.0.1) est vinculada
con una direccin IP enrutable pblica en Internet y lleva a cabo la conversin, en cualquier
direccin, al cambiar la direccin en el paquete IP.
Por consiguiente, la conversin de direcciones de red esttica permite que equipos de una
red interna estn conectados a Internet de manera transparente, pero no resuelve el
problema de falta de direcciones, en la medida en que n direcciones IP enrutables son
necesarias para conectar n equipos a la red interna.

Conversin dinmica
La NAT dinmica permite que diversos equipos con direcciones privadas compartan una
direccin IP enrutable (o un nmero reducido de direcciones IP enrutables). Entonces visto
desde afuera, todos los equipos de la red interna prcticamente poseen la misma direccin
IP. sta es la razn por la cual a veces se utiliza el trmino "enmascaramiento IP" para
indicar la conversin de direcciones de red dinmica.
Para poder "multiplexar" (compartir) las diferentes direcciones IP en una o varias
direcciones IP enrutables, la NAT dinmica utiliza la Conversin de direcciones por puerto
(PAT, Port Address Translation), es decir, la asignacin de un puerto de origen diferente
para cada solicitud, de manera que se pueda mantener una correspondencia entre las
solicitudes que provienen de la red interna y las respuestas de los equipos en Internet, todas
enviadas a la direccin IP del router.

Habilitacin de puertos
La conversin de direcciones de red slo permite solicitudes provenientes de la red interna
hacia la red externa, con lo cual es imposible que un equipo externo enve un paquete a un
equipo de la red interna. En otras palabras, los equipos de la red interna no pueden
funcionar como un servidor con respecto a la red externa.
Por esta razn, existe una extensin NAT llamada "habilitacin de puertos" o mapeo de
puertos que consiste en configurar la pasarela para enviar todos los paquetes recibidos en
un puerto particular a un equipo especfico de la red interna. Por lo tanto, si la red externa
necesita acceder a un servidor Web (puerto 80) que funciona en un equipo 192.168.1.2, ser
necesario definir una regla de habilitacin de puertos en la pasarela, con lo cual se
redirigirn todos los paquetes TCP recibidos en el puerto 80 al equipo 192.168.1.2.

Activacin de puertos
La mayora de las aplicaciones cliente-servidor realiza una solicitud a travs de un host
remoto en un puerto determinado y a su vez abre un puerto para recuperar los datos. Sin
embargo, ciertas aplicaciones utilizan ms de un puerto para intercambiar datos con el
servidor. ste es el caso, por ejemplo, del FTP, para el que se establece una conexin por el
puerto 21, pero los datos se transfieren por el puerto 20. Por lo tanto, con NAT, despus de
una solicitud de conexin en el puerto 21 de un servidor FTP remoto, la pasarela espera una
conexin en un solo puerto y rechazar la solicitud de conexin en el puerto 20 del cliente.
Existe un mecanismo derivado de la NAT llamado "activacin de puertos" que permite
autorizar la conexin con determinados puertos (habilitacin de puertos) si se completa una
condicin (solicitud). Por lo tanto, se trata de una habilitacin de puertos condicional que
permite que un puerto se abra slo cuando una aplicacin lo solicita. De esta manera, el
puerto no permanece permanentemente abierto.

Network Address Translation

De Wikipedia, la enciclopedia libre
Saltar a: navegacin, bsqueda

NAT (Network Address Translation - Traduccin de Direccin de Red) es un

mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan
mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las
direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los
paquetes para permitir la operacin de protocolos que incluyen informacin de direcciones
dentro de la conversacin del protocolo.
El tipo ms simple de NAT proporciona una traduccin una-a-una de las direcciones IP. La
RFC 2663 se refiere a este tipo de NAT como NAT Bsico, tambin se le conoce como
NAT una-a-una. En este tipo de NAT nicamente, las direcciones IP, las sumas de
comprobacin (checksums) de la cabecera IP, y las sumas de comprobacin de nivel
superior, que se incluyen en la direccin IP necesitan ser cambiadas. El resto del paquete se
puede quedar sin tocar (al menos para la funcionalidad bsica del TCP/UDP, algunos
protocolos de nivel superior pueden necesitar otra forma de traduccin). Es corriente
ocultar un espacio completo de direcciones IP, normalmente son direcciones privadas IP,
detrs de una nica direccin IP (o pequeo grupo de direcciones IP) en otro espacio de
direcciones (normalmente pblico).
NAT es como el recepcionista de una oficina grande. Imagine que le indica al recepcionista
que no le pase ninguna llamada a menos que se lo solicite. Ms tarde, llama a un posible
cliente y le deja un mensaje para que le devuelva el llamado. A continuacin, le informa al
recepcionista que est esperando una llamada de este cliente y le solicita que le pase la
llamada a su telfono.
El cliente llama al nmero principal de la oficina, que es el nico nmero que el cliente
conoce. Cuando el cliente informa al recepcionista a quin est buscando, el recepcionista
se fija en una tabla de bsqueda que indica cul es el nmero de extensin de su oficina. El
recepcionista sabe que el usuario haba solicitado esta llamada, de manera que la reenva a
su extensin.
Entonces, mientras que el servidor de DHCP asigna direcciones IP dinmicas a los
dispositivos que se encuentran dentro de la red, los routers habilitados para NAT retienen
una o varias direcciones IP de Internet vlidas fuera de la red. Cuando el cliente enva
paquetes fuera de la red, NAT traduce la direccin IP interna del cliente a una direccin
externa. Para los usuarios externos, todo el trfico que entra a la red y sale de ella tiene la
misma direccin IP o proviene del mismo conjunto de direcciones.
Su uso ms comn es permitir utilizar direcciones privadas (definidas en el RFC 1918) para
acceder a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y
en la cantidad que se quiera dentro de una red privada. Si el nmero de direcciones privadas

es muy grande puede usarse solo una parte de direcciones pblicas para salir a Internet
desde la red privada. De esta manera simultneamente slo pueden salir a Internet con una
direccin IP tantos equipos como direcciones pblicas se hayan contratado. Esto es
necesario debido al progresivo agotamiento de las direcciones IPv4. Se espera que con el
advenimiento de IPv6 no sea necesario continuar con esta prctica.

ndice
[ocultar]

1 Funcionamiento
o 1.1 Esttica
o 1.2 Dinmica
o 1.3 Sobrecarga
o 1.4 Solapamiento
2 Tipos de NAT
3 NAT Simetrico
4 Ejemplo de Configuracin
5 Ejemplos de software NAT
6 Vase tambin
7 Enlaces de inters

Funcionamiento[editar]
El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultneas con un
dispositivo remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen
campos en los que se indica la direccin origen y destino. Esta combinacin de nmeros
define una nica conexin.
La mayora de los NAT asignan varias mquinas (hosts) privadas a una direccin IP
expuesta pblicamente. En una configuracin tpica, una red local utiliza unas direcciones
IP designadas privadas para subredes (RFC 1918). Un ruteador en esta red tiene una
direccin privada en este espacio de direcciones. El ruteador tambin est conectado a
Internet por medio de una direccin pblica asignada por un proveedor de servicios de
Internet. Como el trfico pasa desde la red local a Internet, la direccin de origen en cada
paquete se traduce sobre la marcha, de una direccin privada a una direccin pblica. El
ruteador sigue la pista de los datos bsicos de cada conexin activa (en particular, la
direccin de destino y el puerto). Cuando una respuesta llega al ruteador utiliza los datos de
seguimiento de la conexin almacenados en la fase de salida para determinar la direccin
privada de la red interna a la que remitir la respuesta.
Todos los paquetes de Internet tienen una direccin IP de origen y una direccin IP de
destino. En general, los paquetes que pasan de la red privada a la red pblica tendrn su
direccin de origen modificada, mientras que los paquetes que pasan a la red pblica de
regreso a la red privada tendrn su direccin de destino modificada. Existen
configuraciones ms complejas.

Para evitar la ambigedad en la forma de traducir los paquetes de vuelta, es obligatorio

realizar otras modificaciones. La mayor parte del trfico generado en Internet son paquetes
TCP y UDP, para estos protocolos los nmeros de puerto se cambian, as la combinacin de
la informacin de IP y puerto en el paquete devuelto puede asignarse sin ambigedad a la
informacin de direccin privada y puerto correspondiente. Los protocolos que no estn
basados en TCP y UDP requieren de otras tcnicas de traduccin Los paquetes ICMP
normalmente se refieren a una conexin existente y necesitan ser asignado utilizando la
misma informacin de IP. Para el ICMP al ser una conexin existente no se utiliza ningn
puerto.
Una pasarela NAT cambia la direccin origen en cada paquete de salida y, dependiendo del
mtodo, tambin el puerto origen para que sea nico. Estas traducciones de direccin se
almacenan en una tabla, para recordar qu direccin y puerto le corresponde a cada
dispositivo cliente y as saber donde deben regresar los paquetes de respuesta. Si un
paquete que intenta ingresar a la red interna no existe en la tabla en un determinado puerto
y direccin se puede acceder a un determinado dispositivo, como por ejemplo un servidor
web, lo que se denomina NAT inverso o DNAT (Destination NAT).
NAT tiene muchas formas de funcionamiento, entre las que destacan:
Esttica[editar]
Conocida tambin como NAT 1:1, es un tipo de NAT en el que una direccin IP privada se
traduce a una direccin IP pblica, y donde esa direccin pblica es siempre la misma. Esto
le permite a un host, como un servidor Web, el tener una direccin IP de red privada pero
aun as ser visible en Internet.
Dinmica[editar]
Es un tipo de NAT en la que una direccin IP privada se mapea a una IP pblica basndose
en una tabla de direcciones de IP registradas (pblicas). Normalmente, el router NAT en
una red mantendr una tabla de direcciones IP registradas, y cuando una IP privada requiera
acceso a Internet, el router elegir una direccin IP de la tabla que no est siendo usada por
otra IP privada. Esto permite aumentar la seguridad de una red dado que enmascara la
configuracin interna de una red privada, lo que dificulta a los hosts externos de la red el
poder ingresar a sta. Para este mtodo se requiere que todos los hosts de la red privada que
deseen conectarse a la red pblica posean al menos una IP pblica asociadas.
Sobrecarga[editar]
La ms utilizada es la NAT de sobrecarga, conocida tambin como PAT (Port Address
Translation - Traduccin de Direcciones por Puerto), NAPT (Network Address Port
Translation - Traduccin de Direcciones de Red por Puerto), NAT de nica direccin o
NAT multiplexado a nivel de puerto.

Solapamiento[editar]
Cuando las direcciones IP utilizadas en la red privada son direcciones IP pblicas en uso en
otra red, el encaminador posee una tabla de traducciones en donde se especifica el
reemplazo de stas con una nica direccin IP pblica. As se evitan los conflictos de
direcciones entre las distintas redes.

Tipos de NAT[editar]
Los dispositivos NAT no tienen un comportamiento uniforme y se ha tratado de clasificar
su uso en diferentes clases. Existen cuatro tipos de NAT:

NAT de cono completo (Full-Cone NAT). En este caso de comunicacin completa, NAT
mapeara la direccin IP y puerto interno a una direccin y puerto publico diferentes. Una
vez establecido, cualquier host externo puede comunicarse con el host de la red privada
enviando los paquetes a una direccin IP y puerto externo que haya sido mapeado. Esta
implementacin NAT es la menos segura, puesto que una atacante puede adivinar qu
puerto est abierto.
NAT de cono restringido (Restricted Cone NAT).En este caso de la conexin restringida, la
IP y puerto externos de NAT son abiertos cuando el host de la red privada quiere
comunicarse con una direccin IP especifica fuera de su red. El NAT bloquear todo trfico
que no venga de esa direccin IP especifica.
NAT de cono restringido de puertos (Port-Restricted Cone NAT) .En una conexin
restringida por puerto NAT bloquear todo el trfico a menos que el host de la red privada
haya enviado previamente trfico a una IP y puerto especifico, entonces solo en ese caso
esa IP:puerto tendrn acceso a la red privada
NAT Simtrico (Symmetric NAT). En este caso la traduccin de direccin IP privada a
direccin IP pblica depende de la direccin IP de destino donde se quiere enviar el
trfico.

SQAL

NAT Simetrico[editar]
Segn se encuentra en RFC 3489(seccin 5)[1] , de estos tipos de NAT que existen, NAT
simtrico es el ms difcil con el que trabajar. Esto es debido a que el mapeo entre IP y
puerto privado contra IP y puerto pblico no se conserva, es decir por cada requerimiento
saliente se asigna un puerto aleatorio y ste vara para cada comunicacin. En los tres
anteriores tipos de NAT, la direccin IP y el puerto interno de la comunicacin en el equipo
que realiza NAT se conservaba independientemente de la direccin: puerto externo del host
de destino, pero en este caso vara y adicionalmente conserva las restricciones del Port
Restricted Cone NAT. Por lo tanto cuando el host destino intenta enviar un paquete a la
direccin origen, el router NAT rechazara el paquete porque no reconoce al que enva el
paquete como un host autorizado a enviar a esa direccin. La ventaja del NAT simtrico,
es que varias mquinas internas con el mismo puerto origen, pueden establecer
comunicaciones al mismo tiempo y por este motivo, este tipo de NAT es una buena opcin

cuando varias mquinas internas salen por el mismo Gateway, el cual solo tiene una IP
pblica y adicionalmente las aplicaciones de estos equipos originen un requerimiento desde
el mismo puerto. Este tipo de NAT es comn en aplicaciones o dispositivos que
implementan el protocolo SIP, donde el puerto origen y destino tpicamente es el 5060. Sin
embargo en un mtodo reciente de clasificacin, explicado por RFC 4787 . Se distinguen
los tipos de NAT por dos propiedades: segn la forma de mapear y segn la forma de
filtrar.Y pueden ser de tres tipos: Independiente del punto destino (Endpoint-Independent),
dependiente de la direccin (Address-Dependent), o dependiente de la direccin y del
puerto (Address and Port-Dependent). Con este nuevo mtodo de clasificacin, NAT
Simtrico en realidad sera un NAT que mapea dependiendo de la direccin y el puerto.

Ejemplo de Configuracin[editar]
En esta seccin del artculo, se indicar la forma bsica(s) de la configuracin de un NAT
en un router. Los pasos usados en esta seccin siguen la forma de programar un servidor
NAT en un router Cisco.
Conseguir un router real podra no ser fcil para llevar a cabo esta experiencia, sin
embargo, puede optar por utilizar un simulador de router real, como el Cisco Packet Tracer.
Eso supone que en esta muestra, contamos con 3 routers, un Switch y tres computadores.
NAT con sobrecarga (conexiones del equipo desde Internet a la red con ips'privadas)
1. Conecte los dispositivos entre s por los puertos adecuados en cada caso (ethernet, ATM,
Serial, etc.)
2. Asumimos que usted sabe enrutamiento IP y cmo hacer converger la red usando
protocolo de enrutamientos. RIP se recomienda para configuraciones ms sencillas y
rpidas.
3. Parametrizaciones del ejemplo:

El puerto conectado a internet es el Ethernet0

El puerto conectado a la red LAN es el Ethernet1
El rango IP de la LAN es 192.168.1.0 con mscara 255.255.255.0 y wildmask 0.0.0.255
La lista de accesos se llamar INTERNET
PAT:Orientando puerto de Http 80 sobre mquina 192.168.0.1 puerto 8080

Router(config)#ip nat inside source list INTERNET interface Dialer0

overload
Router(config)#ip access-list standard INTERNET
Router(config)#permit 192.168.1.0 0.0.0.255
Router(config)#deny
any

Asociacin de interfaces (puertos) al NAT

Router(config)#interface ethernet0
Router(config)#ip nat outside
Router(config)#interface ethernet1
Router(config)#ip nat inside

Implementacin del PAT

Router(config)#ip nat inside source static tcp 192.168.0.1 8080 interface

ethernet0 80

NOTA IMPORTANTE: Este ejemplo est verificado en equipos Cisco, no se debe

aplicar al resto de fabricantes, posiblemente no sea funcional.

Ejemplos de software NAT[editar]

Internet Connection Sharing (ICS): NAT+DHCP para Windows desde W98SE

WinGate: como ICS pero con ms control
IPFilter: Solaris, NetBSD, FreeBSD, xMach.
PF (software): El filtro de paquetes OpenBSD.
Netfilter/iptables el filtro de paquetes de Linux y su interface