Introducció al NAT: Què és i com funciona?

Mauro Escalant
maig 16, 2023
11: 57 pm
Cap comentari

El Network Address Translation (NAT), essencialment, és un mecanisme vital al món de les xarxes. En primer lloc, permet que múltiples dispositius comparteixin una única adreça IP pública. A més, millora la seguretat i gestiona eficaçment l'escassetat d'adreces IPv4.

Al final de l'article trobareu un petit prova que et permetrà avaluar els coneixements adquirits en aquesta lectura

Anar al Test

escenari

Imagineu una oficina amb diversos empleats que utilitzen dispositius connectats a Internet. Sense NAT, cada dispositiu requeriria la seva pròpia adreça IP pública. Per contra, gràcies al NAT, tots els dispositius poden compartir una única adreça IP pública, cosa que permet estalviar adreces IP i simplificar la gestió de la xarxa.

Tipus d'adreces IP

Per entendre com funciona, és important conèixer els tipus d'adreces IP involucrades al procés.

En primer lloc, hi ha les adreces IP privades, assignades a cada dispositiu dins de la xarxa interna.
En segon lloc, hi ha les adreces IP públiques, utilitzades per comunicar-se amb dispositius externs a través d'Internet.

El NAT actua com a intermediari, traduint les adreces IP privades en adreces IP públiques i viceversa.

Exemple per il·lustrar el procés

Suposeu que un empleat vol accedir a una pàgina web des de lordinador.

L'ordinador envia una sol·licitud amb la vostra adreça IP privada com a origen.
El NAT, en rebre la sol·licitud, la tradueix, reemplaçant l'adreça IP privada per l'adreça IP pública assignada a l'encaminador.
D'aquesta manera, la sol·licitud arriba al servidor web amb l'adreça IP pública com a remitent.
Quan el servidor respon, la resposta s'envia a l'adreça IP pública.
El NAT entra novament en acció i tradueix l'adreça IP pública a l'adreça IP privada corresponent, permetent que l'ordinador rebi la resposta.

És fonamental assenyalar que hi ha diferents tipus de NAT:

NAT estàtic
NAT dinàmic
Port Address Translation (PAT).

Cadascun té les seves pròpies característiques i aplicacions específiques.

Per exemple, el NAT estàtic assigna una adreça IP pública única a cada adreça IP privada, mentre que el NAT dinàmic utilitza un grup d'adreces IP públiques que s'assignen de manera rotativa.

Per la seva banda, el PAT permet que múltiples dispositius comparteixin una única adreça IP pública mitjançant la traducció de números de port, en lloc d'adreces IP.

En resum

Com que múltiples dispositius comparteixen una única adreça IP pública, optimitza l'ús d'adreces IPv4 i millora la seguretat de les xarxes internes.

A més, la seva capacitat per traduir adreces IP privades en adreces IP públiques i viceversa facilita la comunicació entre dispositius interns i externs, garantint així una experiència d'usuari eficient i sense contratemps.

Com implementar NAT amb MikroTik RouterOS

A continuació, t'explicarem detalladament com implementar NAT en un dispositiu MikroTik utilitzant RouterOS.

1.- Accedeix a la interfície de RouterOS

Primer, heu d'accedir a la interfície d'administració del dispositiu MikroTik. Podeu fer-ho mitjançant l'eina gràfica “Winbox” a Windows, oa través de la interfície web.

2.- Navega a la configuració de NAT

Un cop dins de la interfície de RouterOS, vés a la secció d'“IP” al menú principal i selecciona “Firewall”. Aquí trobaràs diverses pestanyes, inclosa la de NAT.

3.- Afegeix una nova regla de NAT

Fes clic al botó “Agregar” (simbolitzat amb un signe “+”) per crear una nova regla de NAT. S'obrirà una finestra de configuració on podreu definir les propietats de la regla.

4.- Defineix la cadena i l'acció

A la finestra de configuració de la regla, seleccioneu la cadena (chain) apropiada, que és “srcnat” per a NAT d'origen o “dstnat” per a NAT de destinació. A continuació, tria l'acció que vols realitzar, com ara masquerade (emmascarar) per a NAT d'origen o dst-nat (traducció de direcció de destinació) per a NAT de destinació.

5.- Estableix les condicions de la regla

En aquesta etapa, heu d'especificar les condicions sota les quals s'aplicarà la regla de NAT. Per exemple, si voleu aplicar NAT d'origen per al trànsit que surt de la vostra xarxa interna cap a Internet, podeu configurar la interfície “Out. Interfície” com la interfície WAN i la “Address” (adreça) a la pestanya “Src. Address” com el rang d'adreces IP privades de la xarxa interna.

6.- Configura la traducció d'adreces i ports

Si esteu configurant NAT de destinació, cal especificar com s'han de traduir les adreces IP i els números de port. A la pestanya “Action”, selecciona “dst-nat” com l'acció i, a continuació, estableix la “To Addresses” (adreces de destinació) i els “To Ports” (ports de destinació) segons calgui.

7.- Guarda i aplica la regla

Quan hagueu configurat tots els paràmetres necessaris, feu clic a “OK” per desar la regla. La nova regla de NAT apareixerà a la llista de regles a la pestanya “NAT” del tallafocs.

8.- Verifica i monitoritza la regla

Per assegurar-te que la regla de NAT estigui funcionant correctament, verifica el trànsit que passa a través de la regla i revisa les estadístiques proporcionades per RouterOS. Si cal, ajusta la configuració de la regla per millorar-ne el rendiment o solucionar problemes.

Configuració en un router MikroTik amb línia d'ordres

Aquí teniu un exemple de com configurar NAT d'origen (masquerade) en un dispositiu MikroTik utilitzant la línia d'ordres. Aquesta configuració permet que els dispositius de la xarxa interna accedeixin a Internet utilitzant ladreça IP pública assignada al router MikroTik.

Suposem que la interfície WAN (connexió a Internet) és “ether1” i el rang d'adreces IP privades de la xarxa interna és “192.168.1.0/24”. La configuració de NAT d'origen (masquerade) es veuria de la manera següent:

				
					# Ingresa al terminal del router MikroTik
[admin@MikroTik] > 

# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN

# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP dinámica)
[admin@MikroTik] > ip dhcp-client add interface=WAN disabled=no

# Configura la dirección IP en la interfaz LAN (la interfaz que se conecta a la red interna)
[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=LAN

# Agrega la regla de NAT de origen (masquerade) para el tráfico que sale de la red interna hacia Internet
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

Aquest exemple és per configurar NAT de destinació (dst-nat) en un dispositiu MikroTik utilitzant la línia d'ordres. Aquesta configuració permet que els usuaris d'Internet accedeixin a un servidor web intern (per exemple, 192.168.1.100) al port 80 a través de l'adreça IP pública del router MikroTik.

Suposem que la interfície WAN és “ether1” i l'adreça IP pública assignada al router MikroTik és “203.0.113.2”. La configuració de NAT de destinació es veuria de la següent manera:

				
					# Ingresa al terminal del router MikroTik
[admin@MikroTik] > 

# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN

# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP estática)
[admin@MikroTik] > ip address add address=203.0.113.2/24 interface=WAN

# Agrega la regla de NAT de destino (dst-nat) para el tráfico que ingresa desde Internet hacia el servidor web interno
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=203.0.113.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80

Aquests exemples de configuració són aplicables si utilitzeu la línia d'ordres a RouterOS. Tanmateix, també podeu aplicar aquestes configuracions utilitzant l'eina gràfica “Winbox” o la interfície web, seguint els passos esmentats anteriorment.