En un enrutamiento normal IP los paquetes siempre conservan su IP origen y destino,
aunque pasen por diferentes routers.
¿Qué pasaría si un router cambiase la dirección IP de origen por la suya propia?
El destino de la comunicación pensaría que el origen de la misma es ese router. La
información de vuelta se enviaría al router, no al origen real.
En un enrutamiento normal IP los paquetes siempre sonservan su IP origen y destino, aunque pasen por diferentes routers.
NATP cambia la dirección IP de origen.
El origen está en una red privada interna. La reemplaza por la IP externa del router, también
puede cambiar el puerto de origen. Deja anotados estos cambios en una tabla de correspondencias:
Al recibir n paquete de respuesta, deshace el cambio antes de enrutar.
El NAT crea un firewall automático y casi imposible de saltar. Los equipos externos no pueden
iniciar comunicaciones, sólo los internos. Los equipos internos ni siquiera existen en Internet.
El NAT permite compartir una sola IP pública entre muchos ordenadores, ahorro en direcciones IP públicas.
Puede ser interesante que haya entradas NAT permanentes en la tabla de correspondencias.
Un servidor web en nuestra red local debería recibir todo el tráfico que tenga como destino la IP del router
y el puerto 80.
Programas P2P pueden funcionar mejor redireccionando directamente el tráfico al programa, para que otros peers
puedean encontrarnos.
El puerto interno expuesto no tiene por qué coincidir con el externo.
Cada protocolo tiene un puerto asignado (aunque algunos pueden cambiarse). Hay que referirse a la documentación de cada servicio ( o a /etc/services ).
Protocolo | Puerto(s) |
SSH | 22 |
HTTP | 80 |
HTTPS | 443 |
SMTP | 25 |
POP3 | 110 |
IMAP | 143 |
FTP | 20,21 |
VNC | 5900 |
RDP | 3389 |
DNS | 53 |
Internet Connection Sharingpermite compartir una conexión Internet entre muchos
ordenadores.
Un equipo tiene una conexión a Internet (por ejemplo, LAN) y la comparte mediante una conexión
(por ejemplo, Wifi).
Habilita el enrutamiento, y en la conexión de Wifi instala:
La zona desmilitarizadala componen los hosts que una empresa expone a Internet. Puede configurarse de varias maneras.
Se caracteriza por tener a un(os) host(s) fuera del firewall que tiene el router.
Son facilmente accesibles desde Internet.
Características:
(Problemas)
- Velocidad de acceso de la LAN a la DMZ
- Seguridad de la DMZ
(Ventajas)
+ Fácil
+ Barato
Para acceder a los hosts 'públicos' debe pasarse primero por un firewall, que lo comparten con los otros hosts
NO públicos.
Características:
(Problemas)
- Más dificil (abrimos puertos).
- Inseguro, tráfico externo por la LAN.
(Ventajas)
+ Más seguro para los servidores.
+ Accesos de la LAN a la DMZ (y viceversa) más rápido.
Se configuran dos firewall de acceso desde el router. Uno es para dar acceso a la DMZ y tiene un segundo
filtro para tener acceso a la LAN.
Características:
(Problemas)
- Más difícil
- Más caro
(Ventajas)
+ Máxima seguridad.