NAT- Conversión de direcciones de red, habilitación de puertos y

Julio 2015

El principio de NAT

La conversión de direcciones de red o NAT se desarrolló para resolver la falta de direcciones IP con el protocolo IPv4 (dentro de poco tiempo el protocolo IPv6 resolverá este problema).

De hecho, en las direcciones IPv4 la cantidad de direcciones IP enrutables (que son únicas en el mundo) no es suficiente para permitir que todos los equipos que lo requieran estén conectados a Internet.

Por lo tanto, el principio de NAT consiste en utilizar una conexión de pasarela a Internet, que tenga al menos una interfaz de red conectada a la red interna y al menos una interfaz de red conectada a Internet (con una dirección IP enrutable) para poder conectar todos los equipos a la red.

Pasarela de NAT

Es cuestión de crear, al nivel de la pasarela, una conversión de paquetes desde la red interna hacia la red externa.

Por lo tanto, se configura cada equipo en la red que necesite acceso a Internet para que utilice una pasarela de NAT (al especificar la dirección IP de la pasarela en el campo "Gateway" [Pasarela] con sus parámetros TCP/IP). Cuando un equipo de red envía una solicitud a Internet, la pasarela hace la solicitud en su lugar, recibe la respuesta y la envía al equipo que hizo la solicitud.

Principio de conversión de direcciones de red

Debido a que la pasarela oculta completamente las direcciones internas en la red, el mecanismo de conversión de direcciones de red brinda una función segura. De hecho, para un observador externo de la red, todas las solicitudes parecen provenir de la dirección IP de pasarela.

Espacio de la dirección

La organización que administra el espacio de direcciones públicas (direcciones IP enrutables) es la Agencia de Asignación de Números de Internet (IANA, Internet Assigned Number Authority). RFC 1918 define un espacio de dirección privada que permite que cualquier organización asigne direcciones IP a equipos en su red interna sin correr el riesgo de entrar en conflicto con una dirección IP pública asignada por la IANA. Estas direcciones conocidas como no enrutables corresponden a las siguientes series de direcciones:

  • Clase A: desde 10.0.0.0 hasta 10.255.255.255;
  • Clase B: desde 10.16.0.0 hasta 172.31.255.255;
  • Clase C: desde 192.168.0.0 hasta 192.168.255.55
Todos los equipos de una red interna, conectados a Internet a través de un router y que no posean una dirección IP pública, deben utilizar una dirección que se encuentre dentro de estas series. Para redes domésticas pequeñas, generalmente se utiliza la serie de direcciones comprendidas entre 192.168.0.1 y 192.168.0.255.

Conversión estática

El principio de NAT estática consiste en vincular una dirección IP pública con una dirección IP interna privada en la red. Por lo tanto, el router (o más precisamente la pasarela) permite que una dirección IP privada (por ejemplo 192.168.0.1) esté vinculada con una dirección IP enrutable pública en Internet y lleva a cabo la conversión, en cualquier dirección, al cambiar la dirección en el paquete IP.

Por consiguiente, la conversión de direcciones de red estática permite que equipos de una red interna estén conectados a Internet de manera transparente, pero no resuelve el problema de falta de direcciones, en la medida en que n direcciones IP enrutables son necesarias para conectar n equipos a la red interna.

Conversión dinámica

La NAT dinámica permite que diversos equipos con direcciones privadas compartan una dirección IP enrutable (o un número reducido de direcciones IP enrutables). Entonces visto desde afuera, todos los equipos de la red interna prácticamente poseen la misma dirección IP. Ésta es la razón por la cual a veces se utiliza el término "enmascaramiento IP" para indicar la conversión de direcciones de red dinámica.

Para poder "multiplexar" (compartir) las diferentes direcciones IP en una o varias direcciones IP enrutables, la NAT dinámica utiliza la Conversión de direcciones por puerto (PAT, Port Address Translation), es decir, la asignación de un puerto de origen diferente para cada solicitud, de manera que se pueda mantener una correspondencia entre las solicitudes que provienen de la red interna y las respuestas de los equipos en Internet, todas enviadas a la dirección IP del router.

Habilitación de puertos

La conversión de direcciones de red sólo permite solicitudes provenientes de la red interna hacia la red externa, con lo cual es imposible que un equipo externo envíe un paquete a un equipo de la red interna. En otras palabras, los equipos de la red interna no pueden funcionar como un servidor con respecto a la red externa.

Por esta razón, existe una extensión NAT llamada "habilitación de puertos" o mapeo de puertos que consiste en configurar la pasarela para enviar todos los paquetes recibidos en un puerto particular a un equipo específico de la red interna. Por lo tanto, si la red externa necesita acceder a un servidor Web (puerto 80) que funciona en un equipo 192.168.1.2, será necesario definir una regla de habilitación de puertos en la pasarela, con lo cual se redirigirán todos los paquetes TCP recibidos en el puerto 80 al equipo 192.168.1.2.

Activación de puertos

La mayoría de las aplicaciones cliente-servidor realiza una solicitud a través de un host remoto en un puerto determinado y a su vez abre un puerto para recuperar los datos. Sin embargo, ciertas aplicaciones utilizan más de un puerto para intercambiar datos con el servidor. Éste es el caso, por ejemplo, del FTP, para el que se establece una conexión por el puerto 21, pero los datos se transfieren por el puerto 20. Por lo tanto, con NAT, después de una solicitud de conexión en el puerto 21 de un servidor FTP remoto, la pasarela espera una conexión en un solo puerto y rechazará la solicitud de conexión en el puerto 20 del cliente.

Existe un mecanismo derivado de la NAT llamado "activación de puertos" que permite autorizar la conexión con determinados puertos (habilitación de puertos) si se completa una condición (solicitud). Por lo tanto, se trata de una habilitación de puertos condicional que permite que un puerto se abra sólo cuando una aplicación lo solicita. De esta manera, el puerto no permanece permanentemente abierto.

Más información

Para obtener más información, se aconseja que consulte este artículo que trata la conversión de las direcciones de red:

RFC 1918 y 3022 describen el principio del espacio de direcciones internas y la conversión de direcciones de red en detalle:

Artículo escrito por Jean-François PILLOU

Consulta este artículo sin tener que estar conectado, descárgalo gratis aquí en formato PDF:
Nat-conversion-de-direcciones-de-red-habilitacion-de-puertos-y .pdf

Consulta también


NAT- Network address translation, port forwarding and port trigg
NAT- Network address translation, port forwarding and port trigg
NAT - Adressenumsetzung, port forwarding und port triggering
NAT - Adressenumsetzung, port forwarding und port triggering
NAT - Translation d'adresses, port forwarding et port triggering
NAT - Translation d'adresses, port forwarding et port triggering
NAT - Traslazione di indirizzi, port forwarding e port triggerin
NAT - Traslazione di indirizzi, port forwarding e port triggerin
NAT - Network Address Translation, porta e encaminhamento porta
NAT - Network Address Translation, porta e encaminhamento porta
El documento «NAT- Conversión de direcciones de red, habilitación de puertos y» de CCM (es.ccm.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo siempre y cuando respetes las condiciones de dicha licencia y des crédito a CCM.