NAT (Network Address Translation)

Pablo Landeta López 07-12-2022

Internet en sus inicios no fue pensado para ser una red tan extensa, por ese motivo se reservaron “sólo” 32 bits para
direcciones, el equivalente a 4.294.967.296 direcciones únicas, pero el hecho es que el número de máquinas
conectadas a Internet aumentó exponencialmente y las direcciones IP se agotaban. Por ello surgió la NAT o Network
Address Translation (Traducción de Direcciones de Red).
La idea es sencilla, hacer que redes de ordenadores utilicen un rango de direcciones especiales (IPs privadas) y se
conecten a Internet usando una única dirección IP (IP pública). Gracias a este “parche”, las grandes empresas sólo
utilizarían una dirección IP y no tantas como máquinas hubiese en dicha empresa. También se utiliza para conectar
redes domésticas a Internet.

Fuente: https://www.xatakamovil.com/conectividad/nat-network-address-translation-que-es-y-como-funciona

NAT en AWS

Fuente: https://docs.aws.amazon.com/es_es/vpc/latest/userguide/VPC_NAT_Instance.html
Requisitos:

VPC (puede ser la que se crea por defecto en AWS)

Instancia NAT:

• Crear instancia Amazon Linux habilitando asignación de IP pública.

Subred pública (Será la subred donde se creó la instancia NAT).

Subred privada:

• Crear subred en la misma zona de disponibilidad de la instancia NAT.

Interfaz de red:

• Crear la interfaz de red en la subred privada creada y mismo grupo de seguridad de instancia NAT.
• Asociar la interfaz de red a la instancia NAT.
En la instancia NAT creada:

• Conéctese por SSH a la instancia creada usando la llave de seguridad seleccionada en su creación.
• Use los siguientes comandos para configurar NAT:
sudo sysctl -w net.ipv4.ip_forward=1
sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo yum install iptables-services
sudo service iptables save
sudo service iptables start

Deshabilitar las comprobaciones de origen/destino:

- Seleccione la instancia NAT.

 - Vaya a Acciones – Redes - Cambiar comprobación de origen/destino.
- Marque la casilla Detener y presione Guardar.
- Si la instancia NAT tiene una interfaz de red secundaria, selecciónela en Network interfaces (Interfaces de red)
en la pestaña Redes. Elija el ID de interfaz para ir a la página de interfaces de red. Elija Acciones, Cambiar
comprobación de origen y destino, borrar Habilitar y elija Guardar.

Instancia Interna:

• Crear una instancia sin habilitar la asignación de red automática y seleccionando la subred privada y con el
mismo grupo de seguridad de instancia NAT. De preferencia use la misma llave de seguridad que se usó para
la instancia NAT.
Grupo de Seguridad:

• Seleccionar el grupo de seguridad que se ha usado.

• Agregar regla de entrada para permitir ICMP desde cualquier lugar

Tabla de enrutamiento:

• Crear tabla de enrutamiento: En el servicio VCP, vaya a Tablas de enrutamiento. Seleccione Crear tabla de
enrutamiento. Ponga un nombre y seleccione la VPC que se ha usado para crear el resto de elementos
anteriores.
• Seleccione la tabla creada, vaya a la pestaña Rutas. Agregue una ruta con destino 0.0.0.0/0 y con objetivo la
interfaz de red que se agregó a la instancia NAT.
• Seleccione nuevamente la tabla de enrutamiento, en la pestaña Asociaciones de subredes. Seleccione Editar
asociaciones de subredes. Seleccione la subred privada. Presione Guardar Asociaciones

Desde un equipo Linux externo instalado en su computadora local:

- Copie la llave pública en formato pem a la instancia NAT. Si solo tiene la llave en formato ppk, use PuttyGen
para transformar a formato pem.
En la instancia Interna:

Conéctese por SSH a la instancia NAT

Verifique que la llave pública se haya copiado en la ruta /home/ec2-user

Conéctese la instancia Interna con su IP privada usando la llave pública copiada anteriormente.

Compruebe ping a www.google.com