Network Address Translation
Traducción de Direcciones de Red
Es un sistema que se utiliza para asignar una red completa (o
varias redes) a una sola dirección IP.
¢NAT es necesario cuando
la cantidad de direcciones IP que nos haya asignado nuestro proveedor de
Internet sea inferior a la cantidad de ordenadores que queramos que accedan a
Internet.
Con
una compuerta NAT funcionando en un equipo, se puede compartir una dirección
entre varias computadoras locales.
¿Para que nos sirven las redes nat?
Puede dividir redes de gran tamaño en redes más pequeñas.
Dichas subredes, muestran sólo una dirección IP al exterior, lo que significa
que los equipos pueden ser agregados o quitados, o bien se puede cambiar su
dirección, todo se hace sin causar daño a las redes externas.
¢Multiplexar el tráfico
de una red interna y presentarlo en internet como si viniera de una sola
computadora, es decir, teniendo una sola dirección IP.
¢Una compuerta NAT
moderna debe cambiar la dirección de la fuente en cada salida de paquetes para
ser una dirección pública simple. También enumera los puertos fuente para que
sean únicos y así pueda mantener la información relacionada con las conexiones de
cada cliente.
Ventajas:
¢Gran
ahorro de direcciones IPv4,podemos conectar múltiples máquinas de una red a
Internet usando una única dirección IP pública.
¢Seguridad. Las
máquinas conectadas a la red mediante NAT no son visibles desde el
exterior, por lo que un atacante externo no podría averiguar si una máquina
está conectada o no a la red.
¢Mantenimiento
de la red. Sólo sería necesario modificar la tabla de reenvío de
un router para desviar todo el tráfico hacia otra máquina
mientras se llevan a cabo tareas de mantenimiento.
.jpg)
Desventajas:
¢Checksums TCP y UDP: El router tiene
que volver a calcular el checksum de cada paquete que modifica. Por lo que se necesita
mayor potencia de computación.
¢No
todas las aplicaciones y protocolos son compatibles con NAT. Hay
protocolos que introducen el puerto de origen dentro de la zona de datos de un
paquete, por lo que el router no lo modifica y la aplicación no funciona
correctamente.
NAT
estática.
¢Consiste básicamente
en que cada equipo en la red privada debe tener su correspondiente IP pública
asignada para poder acceder a Internet.
¢ La principal
desventaja de este esquema es que por cada equipo que se desee tenga acceso a
Internet se debe contratar una IP pública. Además, es posible que haya
direcciones IP públicas sin usar (porque los equipos que las tienen asignadas
están apagados, por ejemplo), mientras que hay equipos que no puedan tener
acceso a Internet (porque no tienen ninguna IP pública mapeada)
¢ Para configurar este
tipo de NAT en Cisco nos valemos de los siguientes comandos, donde se ve que el
equipo con IP 192.168.1.6 conectado por medio de la interfaz fastEthernet 0/0 será
nateado con la IP pública 200.41.58.112 por medio de la
interfaz de salida serial 0/0.
Router(config)# ip nat inside source static 192.168.1.6 200.41.58.112
Router(config)# interface fastEthernet 0/0
Router(config-if)# ip nat inside
Router(config)#
interface serial 0/0
Router(config-if)# ip nat outside
NAT dinámica.
¢Este tipo de NAT
pretende mejorar varios aspectos del NAT estático dado que utiliza un pool de IPs públicas
para un pool de IPs privadas que serán mapeadas de forma dinámica y a
demanda. La ventaja de este esquema es que si se tienen por ejemplo 5 IPs públicas
y 10 máquinas en la red privada, las primeras 5 máquinas en conectarse tendrán
acceso a Internet. Si suponemos que no más de 5 máquinas estarán encendidas de
forma simultánea nos garantiza que todas las máquinas de nuestra red privada
tendrán salida a Internet eventualmente. Para configurar este tipo de NAT
definimos el pool de IPs públicas disponibles y el rango de direcciones privadas
que deseamos que sean nateadas.
En el siguiente
ejemplo se cuenta con las direcciones Ips públicas
desde la 163.10.90.2 a la 163.10.90.6 y la subred privada 192.168.1.0/24.
Router(config)# ip nat pool name
DIR_NAT_GLOB 163.10.90.2 163.10.90.6 netmask
255.255.255.240
Router(config)# access-list 10 permit
192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 10 pool
DIR_NAT_GLOB
Router(config)#
interface fastEthernet 0/0
Router(config-if)# ip nat inside
Router(config)#
interface serial 0/0
Router(config-if)# ip nat outside
Pat (Port Address Translation)
¢Es el más común de
todos y el más usado en los hogares. Consiste en utilizar una única dirección
IP pública para mapear múltiples direcciones IPs
privadas.
¢Las ventajas que
brinda tienen dos enfoques: por un lado, el cliente necesita contratar una sola
dirección IP pública para que las máquinas de su red tengan acceso a Internet,
lo que supone un importante ahorro económico; por otro lado se ahorra un número
importante de IPs públicas, lo que demora el agotamiento de las mismas.
¢PAT hace uso de múltiples puertos para manejar las conexiones de cada host interno.
SNAT (Source NAT, Static
Network Address traslation).
Es cuando se cambia la dirección de origen de las
conexiones a algo distinto. La configuración se hace con POSTROUTING, es
realmente importante porque cualquier otro servicio de la máquina verá el
paquete sin cambios.
Es principalmente usada para cambiar la dirección de
origen de los paquetes.
DNAT (Destination NAT)
¢Destination Network Address Translation se
emplea principalmente en los casos donde se tiene una IP pública y se quiere
redirigir los accesos al firewall hacia algún otro host (en una "zona
desmilitarizada", DMZ, por ejemplo). Dicho de otro modo, cambiamos la
dirección de destino del paquete y lo re-enrutamos a otro
host.
¢Referencias:
