Técnicas NAT/PAT

Traducción de direcciones y puertos

Manuel Vilas Paz

Isabel Rodríguez Orviz
David Álvarez Quintana
Roberto García Fernández

Introducción

NAT/PAT
 Network Address Translation
 Port Address Translation

Problema de escasez de direcciones públicas en IPv4

Permite la reutilización de direcciones privadas

Rangos de direccionamiento privado
 10.0.0.0/8

Red clase A: 16 millones de máquinas (aprox.)
 172.16.0.0/12

16 redes clase B: cada una con 64000 máquinas (aprox.)
 192.168.0.0/16

256 redes clase C: cada una con 255 máquinas (aprox.)

1
Direccionamiento público/privado
UNIOVI www.google.es
156.35.162.0/24 66.249.87.104

R1
Direcciones públicas
¿?
asignadas por la IANA.
Recurso limitado por el Direcciones privadas no
que hay que pagar reservadas. Utilizables de
forma interna a una
organización

212.90.1.0/20
Empresa A Empresa B
192.168.100.0/24 192.168.100.0/24

¿Cómo decide R1 hacia donde encaminar

un paquete de vuelta de un servidor
situado en Internet? En función de una IP
privada no se puede encaminar en una
red pública

Traducción de direcciones-puertos

PUERTO POST-NAT

2
Problemas NAT/PAT

192.168.100.100 212.89.1.100
192.168.100.1 212.89.1.200
212.89.1.200 192.168.100.1 16000 30000 ESPERO DATOS EN PUERTO 20000

212.89.1.200 212.89.1.100 16000 25000 ESPERO DATOS EN PUERTO 20000

212.89.1.100 212.89.1.200 20000 16000 DATOS

El puerto 20000 no es el puerto en el que espera la

respuesta el equipo NAT/PAT  Es necesario “traducir”
los protocolos

NAT/PAT estático

Servidor en red corporativa accesible desde el exterior

Traducciones estáticas
 (IP_Pub, Port_pub)  (IP_pri, Port_pri)

192.168.100.100 212.89.1.100
192.168.100.1 212.89.1.200
IP INTERNA PUERTO INTERNO IP EXTERNA PUERTO EXTERNO

192.168.100.10 80 212.90.1.100 8080

3
 NAT/PAT con IPCop
Dirección IP Pública
Estática
Direcciones IP privadas DHCP
PAT: Port Address Translation
Privadas red
156.35.171.144

Estáticas
DHCP

Escenario configuración de servicios

156.35.171.146/24 156.35.171.148/24
Uniovi 156.35.171.149/24
156.35.171.147/24
Internet IPCop 1

NIC red NIC green

IP: 156.35.171.145/24 192.168.1.1

Gateway: 156.35.171.201 255.255.255.0
DNS: w.x.y.z
DNS sec: w.x.y.z
IPCop 2 IPCop 3 IPCop 4 IPCop 5
Switch

192.168.1.200 192.168.1.250

...
Obtener IP automáticamente
Mail Server 1 (Postfix) Mail Server 10 (Postfix)
DHCP
IP: 156.35.171.134/24 IP: 156.35.171.144/24
Minimo: 192.168.1.200
servidor1.cursolinux.com servidor10.cursolinux.com
Maximo: 192.168.1.250
Gateway: 192.168.1.1
DNS Primario: 192.168.1.1
DNS Sec: w.x.y.z

4
Tráfico entre interfaces

Port Forwarding
Server
Internet

No No 1 Request

Dispositivos
IPCop wireless

DMZ 2 Response
No

Open

Red LAN
Servidores
Server

5
 Port Forwarding

Firewall previene el acceso a zonas protegidas

A veces, es una situación demasiado estricta

Ejemplo: web server en zona naranja
 Acceso desde el exterior de la zona protegida

Red  Orange Closed, Use Port Forwarding

Port Forwarding: Servicio que permite acceso limitado a
la LAN interna desde el exterior
 Source port (conexión desde el exterior)

80 para web servers

20 para FTP servers

25 para mail servers …
 Destination IP (IP del servidor: 192.168.3.3)
 Destination port (puerto configurado en el servidor)

Port Forwarding
Source Port: 80
Server
Internet
Port Forwarding
activado
1 Request

Dispositivos
IPCop wireless

2 Response
192.168.3.3 Servidores

Web Server Red LAN

Puerto 80
Server

6
 Acceso externo

Administración remota de IPCop desde Internet

No tiene efecto sobre el acceso a las redes naranja, azul
y verde

Configuración:
 Source IP: IP de la máquina remota que accede al firewall

todo Internet  blanco

red  dirección de la red

host  dirección concreta de una máquina
 Destination port: puerto externo al que se permite el acceso

https  TCP port 445

ssh  TCP port 222

Acceso externo
Source Port: 80
Server
Internet
Port Forwarding
activado
167.34.58.45 1 Request
Acceso externo
Activado
https  445 Dispositivos
IPCop wireless

2 Response
192.168.3.3 Servidores

Web Server Red LAN

Puerto 80
Server