Traducción de Direcciones de Red (Network Address Translation o NAT)
El protocolo NAT es un estándar definido en las RFC 1631 (definición de NAT - obsoleto), RFC 3022 (NAT tradicional), RFC 2663 (nomenclatura utilizada en NAT), RFC 1918 (designación de direcciones para redes privadas).
RFC: Acrónimo inglés de "Request For Comments". Conjunto de notas técnicas y organizativas donde se describen los estándares o recomendaciones de Internet.

Partiendo de un entorno típico para ver cómo actúa NAT:
En este entorno, tenemos una red privada (192.168.0.0) en la que un host accede a Internet a través de un servidor que usa NAT. Todos los hosts que necesiten acceder a Internet tienen configurada como puerta de enlace y DNS el servidor NAT. La petición desde el equipo 192.168.0.10 se efectuará de la siguiente manera:

Dirección IP Origen: 192.168.0.10
Dirección IP Destino: w2.x2.y2.z2
Puerto de origen: 1025
Puerto de destino: 80

DATOS:
Petición de página Web.
Esa petición llega al servidor NAT, éste traduce las direcciones y los puertos de origen, y manda la petición a Internet:
Dirección IP de origen: w1.x1.y1.z1
Dirección IP de destino: w2.x2.y2.z2
Puerto de origen: 5000
Puerto de destino: 80

DATOS:
Petición de página Web.
El servidor NAT creará una tabla de asignaciones para recordar a quién debe devolver el paquete cuando llegue la respuesta del servidor Web remoto.
Protocolo   IP privada   Puerto privado   IP pública   Puerto público   IP remota   Puerto remoto
   TCP        192.168.0.1          1025            w1.x1.y1.z1       5000            w2.x2.y2.z2           80
Con toda esta información, el servidor NAT será capaz de devolver las peticiones a los hosts que las han solicitado.
El paquete de vuelta desde el servidor Web será el siguiente:
Dirección IP de origen: w2.x2.y2.z2
Dirección IP de destino: w1.x1.y1.z1
Puerto de origen: 80
Puerto de destino 5000

DATOS:
Página Web solicitada.
El servidor NAT consultará su tabla de asignaciones y pondrá en la Intranet el siguiente paquete:
Dirección IP de origen: w2.x2.y2.z2
Dirección IP de destino: 192.168.0.1
Puerto de origen: 80
Puerto de destino: 1025
Éste es el modo en el que trabaja NAT, pudiendo gestionar varias peticiones de clientes con una o varias direcciones IP públicas.

COMPONENTES DE NAT:
La implementación de NAT consta de tres componentes en el propio servidor:
*Componente de traducción: Traduce direcciones privadas a públicas y viceversa.
*Componente DHCP: Es capaz de autoconfigurar los clientes de su Intranet automáticamente. Otorga una IP privada a los clientes y como puerta de enlace y DNS, la IP del servidor que ejecuta NAT.
*Componente DNS: Es el encargado de resolver las consultas DNS para todos los clientes de la Intranet. Es un proxy DNS.
NAT sólo traduce los encabezados de IP, TCP y UDP. Si en la trama existen datos acerca de la IP o puerto de origen, es preciso utilizar editores NAT. Su función es la de traducir las direcciones o puertos de origen mas allá de las cabeceras del paquete. Windows proporciona editores NAT para:
*FTP
*ICMP
*PPTP
*NetBIOS sobre TCP/IP
También proporciona servicio de Proxy para:
*H.323
*Direct Play
*LDAP-based ILS registration
*RPC

NAT se instala como un protocolo en la consola de enrutamiento.
Se puede agregar de dos modos: con el asistente o manualmente.
En el asistente de configuración elegiremos la opción NAT, pues ICS se configura en cada interfaz. Después hay que elegir la interfaz que conecta a Internet. Puede ser una interfaz de marcado a petición, pero en este caso se trata una interfaz de red directamente conectada a Internet.
Si elegimos la opción "servidor configurado manualmente", los pasos a seguir serán los siguientes:
1. Configuramos correctamente la interfaz de red interna para que sea accesible para todos los equipos cliente. Lo hacemos con una red privada y sin puerta de enlace.

2. Si se va a utilizar una conexión de marcado a petición para conectar con Internet, es necesario agregarla y después agregar una ruta estática para que se inicie la comunicación cuando haya peticiones a esa red (Ninguno de estos últimos pasos son necesarios si el acceso a Internet se hace por una interfaz que no precise marcado como ADSL, frame relay, cable, etc.).

3. El siguiente paso es agregar NAT y las interfaces privada y pública.

4. Configuramos la interfaz pública:
*Para que traduzca los puertos TCP/UDP.
*Si nuestro ISP nos otorga más de una dirección pública, podemos usarlas todas. Si el número de direcciones es igual al número de clientes, Windows asignará una dirección IP pública a cada IP privada. En el momento en el que haya más, necesitará traducir direcciones. También podemos asignar una pública siempre a la misma privada para, por ejemplo, publicar un servidor con todos sus puertos accesibles.
*Por último podemos realizar un mapeo de puertos para hacer accesibles ciertos servicios desde Internet.

5. Sólo queda la configuración de los clientes. Podemos configurar los clientes:
*De manera estática, configurando como DNS y como puerta de enlace la IP privada del servidor NAT.
*De manera automática, configurando el DHCP incluido en el servidor NAT.
*De manera automática, configurando el NAT para que use direcciones de un servidor DHCP de la red.
*NOTA: Aunque un router utilice NAT, que no es un cortafuegos (firewall), provee de cierta seguridad ya que los hosts externos a la red no conocen las direcciones verdaderas de los hosts que se encuentran dentro de la red privada, haciendo que sea difícil poder realizar un ataque desde hosts externos. No obstante, resulta bastante aconsejable tener instalado un cortafuegos, a pesar de que el router use el protocolo NAT, con el fin de mantener en todo momento el control de los procesos y aplicaciones que intentan acceder a la Red desde nuestro PC.


Volver a la página principal