Tcnicas NAT/PAT

Traduccin de direcciones y puertos

Manuel Vilas Paz Isabel Rodrguez Orviz David lvarez Quintana Roberto Garca Fernndez

Introduccin
NAT/PAT
Network Address Translation Port Address Translation

Problema de escasez de direcciones pblicas en IPv4 Permite la reutilizacin de direcciones privadas Rangos de direccionamiento privado
10.0.0.0/8
Red clase A: 16 millones de mquinas (aprox.)

172.16.0.0/12
16 redes clase B: cada una con 64000 mquinas (aprox.)

192.168.0.0/16
256 redes clase C: cada una con 255 mquinas (aprox.)

Direccionamiento pblico/privado
UNIOVI
156.35.162.0/24

www.google.es 66.249.87.104

R1
Direcciones pblicas asignadas por la IANA. Recurso limitado por el que hay que pagar

?
Direcciones privadas no reservadas. Utilizables de forma interna a una organizacin

212.90.1.0/20 Empresa A
192.168.100.0/24

Empresa B
192.168.100.0/24

Cmo decide R1 hacia donde encaminar un paquete de vuelta de un servidor situado en Internet? En funcin de una IP privada no se puede encaminar en una red pblica

Traduccin de direcciones-puertos

PUERTO POST-NAT

Problemas NAT/PAT

192.168.100.100 192.168.100.1
212.89.1.200 192.168.100.1 16000 30000

212.89.1.100 212.89.1.200
ESPERO DATOS EN PUERTO 20000

212.89.1.200

212.89.1.100

16000

25000

ESPERO DATOS EN PUERTO 20000

212.89.1.100

212.89.1.200

20000

16000

DATOS

El puerto 20000 no es el puerto en el que espera la Es necesario traducir respuesta el equipo NAT/PAT los protocolos

NAT/PAT esttico
Servidor en red corporativa accesible desde el exterior Traducciones estticas
(IP_Pub, Port_pub) (IP_pri, Port_pri)

192.168.100.100 192.168.100.1
IP INTERNA 192.168.100.10 PUERTO INTERNO 80

212.89.1.100 212.89.1.200
IP EXTERNA 212.90.1.100 PUERTO EXTERNO 8080

NAT/PAT con IPCop

Direcciones IP privadas PAT: Port Address Translation Privadas Estticas DHCP Direccin IP Pblica Esttica DHCP
red 156.35.171.144

Escenario configuracin de servicios

Uniovi Internet
NIC red
156.35.171.146/24 156.35.171.148/24 156.35.171.149/24 156.35.171.147/24

IPCop 1 NIC green

IP: 156.35.171.145/24 Gateway: 156.35.171.201 DNS: w.x.y.z DNS sec: w.x.y.z

192.168.1.1 255.255.255.0

IPCop 2
Switch 192.168.1.200 192.168.1.250

IPCop 3 IPCop 4 IPCop 5

...
Mail Server 1 (Postfix) IP: 156.35.171.134/24 servidor1.cursolinux.com Mail Server 10 (Postfix) IP: 156.35.171.144/24 servidor10.cursolinux.com Obtener IP automticamente DHCP Minimo: 192.168.1.200 Maximo: 192.168.1.250 Gateway: 192.168.1.1 DNS Primario: 192.168.1.1 DNS Sec: w.x.y.z

Trfico entre interfaces

Port Forwarding
Server

Internet
No No
1 Request

IPCop
DMZ
No
Open 2 Response

Dispositivos wireless

Servidores
Server

Red LAN

Port Forwarding
Firewall previene el acceso a zonas protegidas A veces, es una situacin demasiado estricta Ejemplo: web server en zona naranja
Acceso desde el exterior de la zona protegida
Red Orange Closed, Use Port Forwarding

Port Forwarding: Servicio que permite acceso limitado a la LAN interna desde el exterior
Source port (conexin desde el exterior)
80 para web servers 20 para FTP servers 25 para mail servers

Destination IP (IP del servidor: 192.168.3.3) Destination port (puerto configurado en el servidor)

Port Forwarding
Source Port: 80 Server

Internet
Port Forwarding activado 1 Request

IPCop
192.168.3.3

Dispositivos wireless
2 Response

Servidores

Web Server Puerto 80 Server

Red LAN

Acceso externo
Administracin remota de IPCop desde Internet No tiene efecto sobre el acceso a las redes naranja, azul y verde Configuracin:
Source IP: IP de la mquina remota que accede al firewall
todo Internet blanco red direccin de la red host direccin concreta de una mquina

Destination port: puerto externo al que se permite el acceso

https TCP port 445 ssh TCP port 222

Acceso externo
Source Port: 80 Server

Internet
Port Forwarding activado 167.34.58.45 Acceso externo Activado https 445 1 Request

IPCop
2 Response

Dispositivos wireless

192.168.3.3

Servidores

Web Server Puerto 80 Server

Red LAN