Network Address Translation (NAT).

Introducción

En un enrutamiento normal IP los paquetes siempre conservan su IP origen y destino, aunque pasen por diferentes routers.
¿Qué pasaría si un router cambiase la dirección IP de origen por la suya propia? El destino de la comunicación pensaría que el origen de la misma es ese router. La información de vuelta se enviaría al router, no al origen real.

Enrutamiento.

En un enrutamiento normal IP los paquetes siempre sonservan su IP origen y destino, aunque pasen por diferentes routers.

NAT

NATP cambia la dirección IP de origen. El origen está en una red privada interna. La reemplaza por la IP externa del router, también puede cambiar el puerto de origen. Deja anotados estos cambios en una tabla de correspondencias:
Al recibir n paquete de respuesta, deshace el cambio antes de enrutar. NAT

Ventajas de NAT.

El NAT crea un firewall automático y casi imposible de saltar. Los equipos externos no pueden iniciar comunicaciones, sólo los internos. Los equipos internos ni siquiera existen en Internet.
El NAT permite compartir una sola IP pública entre muchos ordenadores, ahorro en direcciones IP públicas.

Redirección permanente de puertos.

Puede ser interesante que haya entradas NAT permanentes en la tabla de correspondencias.
Un servidor web en nuestra red local debería recibir todo el tráfico que tenga como destino la IP del router y el puerto 80.
Programas P2P pueden funcionar mejor redireccionando directamente el tráfico al programa, para que otros peers puedean encontrarnos.
El puerto interno expuesto no tiene por qué coincidir con el externo.

¿Qué puertos exponer?

Cada protocolo tiene un puerto asignado (aunque algunos pueden cambiarse). Hay que referirse a la documentación de cada servicio ( o a /etc/services ).

Protocolo	Puerto(s)
SSH	22
HTTP	80
HTTPS	443
SMTP	25
POP3	110
IMAP	143
FTP	20,21
VNC	5900
RDP	3389
DNS	53

Ejemplo NAT: ICS de Windows.

Ejemplo Windows Internet Connection Sharingpermite compartir una conexión Internet entre muchos ordenadores.
Un equipo tiene una conexión a Internet (por ejemplo, LAN) y la comparte mediante una conexión (por ejemplo, Wifi).
Habilita el enrutamiento, y en la conexión de Wifi instala:

Un servidor DHCP
Un servidor NAT
Un servidor DNS

DHCP: Sirve para la configuracion dinaámica del host - Asigna IP de forma automática.
NAT: Traducción de Direcciones de Red. Hace 'invisible' un host.
DNS: Sistema de Nombres de Dominio, traducción de dirección real en una IP.

DMZ

La zona desmilitarizadala componen los hosts que una empresa expone a Internet. Puede configurarse de varias maneras.

DMZ Expuesta

Se caracteriza por tener a un(os) host(s) fuera del firewall que tiene el router.
Son facilmente accesibles desde Internet.
Características:
(Problemas)
- Velocidad de acceso de la LAN a la DMZ
- Seguridad de la DMZ
(Ventajas)
+ Fácil
+ Barato

DMZ Host

Para acceder a los hosts 'públicos' debe pasarse primero por un firewall, que lo comparten con los otros hosts NO públicos.
Características:
(Problemas)
- Más dificil (abrimos puertos). - Inseguro, tráfico externo por la LAN.
(Ventajas)
+ Más seguro para los servidores.
+ Accesos de la LAN a la DMZ (y viceversa) más rápido.

DMZ con doble firewall.

Se configuran dos firewall de acceso desde el router. Uno es para dar acceso a la DMZ y tiene un segundo filtro para tener acceso a la LAN.
Características:
(Problemas)
- Más difícil
- Más caro
(Ventajas)
+ Máxima seguridad.