PDF de programación - NAT

NAT

Este documento tiene por objeto introducir al lector en los
principios básicos de la traducción de direcciones de red para
habilitar una conexión a Internet de una red privada a través de un
servidor de red. En sistemas Windows se verá la Conexión
compartida a Internet y el servicio Acceso remoto. En sistemas Linux
se presentará detalladamente el sistema netfilter y su gestión a
través de iptables para NAT.

NAT by Rafael Lozano is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual
3.0 España License.

Información técnica
Nivel de usuario: Avanzado
Escenario: La instalación y configuración de un servidor FTP se ha realizado y probado sobre dos
redes locales virtuales independientes creadas en VirtualBox v5.1. En la primera se ha utilizado
dos servidores Windows Server 2016 y un cliente Windows 10 con la siguiente configuración:

Hostname
Máquina
Virtual
SeWiPr

SO
WS 2016

SeWiSe

WS 2016

ClWi

W10

Hardware
HD 30GB
RAM 2GB

HD 30GB
RAM 2GB

HD 30GB
RAM 2GB

Conexiones de Red

VirtualBox
Red NAT
Dinámica en
172.16.0.0/16

Red Interna
red_windows
192.168.20.1/24

Puerta de
Enlace
172.16.0.1

Software
adicional
Ninguno

Servidores
de Nombres
El mismo que
la máquina
física

192.168.20.10/24
reservada DHCP

Dinámica en
192.168.20.0/24

192.168.20.1 192.168.20.1 Ninguno

192.168.20.1 192.168.20.1 Ninguno

En la siguiente red se ha empleado un servidor Lubuntu 13.04 y un cliente con el mismo sistema
operativo, según la siguiente configuración

Hostname
Máquina
Virtual
SeLiPr

SeLiSe

ClLi

SO
Lubuntu
16.04

Lubuntu
16.04

Lubuntu
16.04

Hardware
HD 10GB
RAM 1GB

HD 10GB
RAM 1GB

HD 10GB
RAM 1GB

Conexiones de Red

VirtualBox
Red NAT
Dinámica en
172.16.0.0/16

Red Interna
red_linux
192.168.21.1/24

Puerta de
Enlace
172.16.0.1

Software
adicional
Ninguno

Servidores
de Nombres
El mismo que
la máquina
física

192.168.21.10/24
reservada DHCP

Dinámica en
192.168.21.0/24

192.168.21.1 192.168.21.1 Ninguno

192.168.21.1 192.168.21.1 Ninguno

Para que los clientes de una red privada puedan acceder a Internet a través de un servidor NAT es
necesario que los servidores DHCP estén configurados correctamente y funcionando para que los
clientes puedan obtener una configuración de red. También, es fundamental que los servidores DNS
estén habilitados como caché DNS, tal y como se vio en el capítulo dedicado a DNS. Así, los clientes
podrán disponer de direccionamiento IP y resolución de nombres.

Conocimientos previos: Es necesario tener conocimientos teóricos y prácticos de la
configuración TCP/IP de una interfaz de red, en plataformas Windows y Linux. Para la parte de
Linux se necesita saber el uso de un editor de texto plano, como nano o vi, además de los
comandos básicos de Unix en gestión de archivos y directorios.
Ultima revisión del documento: Septiembre 2016

I

Esquema de red: La conexión de red es la siguiente

II

Tabla de contenido

Tabla de contenido

1. Introducción la traducción de direcciones de red.....................................................................1
1.1 Tipos de NAT.................................................................................................................................................3
2. NAT en Windows Server...................................................................................................................4
2.1 Conexión compartida a Internet..............................................................................................................5
2.2 Enrutamiento y acceso remoto................................................................................................................8
2.2.1 Servidor DHCP en Enrutamiento y acceso remoto.........................................................................11
2.2.2 Resolución de nombres en NAT...........................................................................................................12
2.2.3 Conjunto de direcciones........................................................................................................................ 13
2.2.4 DNAT........................................................................................................................................................... 14
3. Iptables..............................................................................................................................................16
3.1 Flujo de paquetes......................................................................................................................................16
3.2 Sintaxis de iptables...................................................................................................................................18
3.2.1 Tablas.......................................................................................................................................................... 18
3.2.2 Comandos................................................................................................................................................. 18
3.2.3 Cadenas...................................................................................................................................................... 19
3.2.4 Reglas.......................................................................................................................................................... 20
3.3 NAT con iptables........................................................................................................................................24
3.3.1 Opciones específicas de iptables para NAT......................................................................................25
3.3.2 Activar el enrutamiento en el kernel...................................................................................................25
3.3.3 Enmascaramiento IP............................................................................................................................... 26
3.3.4 SNAT............................................................................................................................................................ 26
3.3.5 DNAT........................................................................................................................................................... 27
3.3.6 Redirección................................................................................................................................................ 27
3.4 Script de inicio de servicio.......................................................................................................................28
4. Bibliografía........................................................................................................................................33

Índice I

Rafael Lozano

NAT

NAT

1. Introducción la traducción de direcciones de red

El número de usuarios en hogares y pequeños negocios que quiere usar Internet está en
continuo incremento. Al principio, un usuario se conectaba a Internet mediante una línea teléfonica
básica, lo que significa que estaba conectado durante un período de tiempo específico. Un ISP con un
bloque de direcciones podía asignar dinámicamente una dirección a este usuario. Pero actualmente la
situación es distinta. Los usuarios en hogares y pequeños negocios pueden estar conectados
mediante una línea ADSL o un cable MODEM. Además, muchos no son felices con una dirección;
pueden haber creado redes pequeñas con varios nodos y necesitan una dirección IP para cada uno.
Con la escasez de direcciones, esto representa un serio problema.

Una solución rápida para este problema es la traducción de direcciones de red (NAT). NAT
permite a un usuario tener internamente un gran conjunto de direcciones y una dirección, o un
conjunto de pequeñas direcciones, de cara al exterior. El tráfico interior puede usar el conjunto
grande; el tráfico exterior el conjunto pequeño.

Para separar las direcciones usadas dentro del hogar o el negocio y las usadas para Internet, las
autoridades de Internet han reservado tres rangos de direcciones como direcciones privadas, como
se muestra en la siguiente tabla.

Clase Dirección inicial Dirección final
A
10.255.255.255/8
172.31.255.255/16
B
C
192.168.255.255/24

10.0.0.0/8
172.16.0.0/16
192.168.0.0/24

Nº de Hosts
224 = 16777216
216 x 16= 1048576
216 = 65536

Cualquier organización puede usar direcciones de estos conjuntos sin permiso de las
autoridades de Internet. Todo el mundo sabe que estas direcciones reservadas son para redes
privadas. Son únicas dentro de la organización, pero no globalmente. Ningún enrutador reenviará al
exterior un paquete que tiene esta dirección como dirección de destino.

La siguiente figura ilustra una red privada que tiene conexión a Internet a través de un

Página 1

Rafael Lozano

dispositivo NAT.

NAT

Figura 1.- NAT

Como muestra la figura, la red privada usa direcciones privadas. El enrutador que conectará
redes a la dirección global usa una dirección privada y una dirección global. La red privada es
transparente al resto de Internet; el resto de Internet es sólo el enrutador NAT con la dirección
200.24.5.8.

Todos los paquetes de salida pasan a través del enrutador NAT, que sustituye la dirección
origen en el paquete con la dirección global NAT. Todos los paquetes de entrada pasan también a
través del enrutador NAT, que sustituye la dirección destino en el paquete (la dirección global del
enrutador NAT) con la dirección privada apropiada. La figura muestra un ejemplo de traducción de
direcciones.

Figura 2.- Traducción de direcciones

La traducción de la dirección origen para los paquetes que salen es directa. Pero ¿cómo sabe el
enrutador NAT la dirección destino para un paquete que llega de Internet? Puede haber dece