Introducción al NAT: ¿Qué es y cómo funciona?

Mauro Escalante
mayo 16, 2023
11:57 pm
No hay comentarios

El Network Address Translation (NAT), esencialmente, es un mecanismo vital en el mundo de las redes. En primer lugar, permite que múltiples dispositivos compartan una única dirección IP pública. Además, mejora la seguridad y gestiona eficazmente la escasez de direcciones IPv4.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Escenario

Imagine una oficina con varios empleados que utilizan dispositivos conectados a Internet. Sin NAT, cada dispositivo requeriría su propia dirección IP pública. Por el contrario, gracias al NAT, todos los dispositivos pueden compartir una única dirección IP pública, lo que permite ahorrar direcciones IP y simplificar la gestión de la red.

Tipos de direcciones IP

Para entender cómo funciona, es importante conocer los tipos de direcciones IP involucradas en el proceso.

En primer lugar, están las direcciones IP privadas, asignadas a cada dispositivo dentro de la red interna.
En segundo lugar, están las direcciones IP públicas, utilizadas para comunicarse con dispositivos externos a través de Internet.

El NAT actúa como intermediario, traduciendo las direcciones IP privadas en direcciones IP públicas y viceversa.

Ejemplo para ilustrar el proceso

Suponga que un empleado quiere acceder a una página web desde su computadora.

La computadora envía una solicitud con su dirección IP privada como origen.
El NAT, al recibir la solicitud, la traduce, reemplazando la dirección IP privada por la dirección IP pública asignada al router.
De este modo, la solicitud llega al servidor web con la dirección IP pública como remitente.
Cuando el servidor responde, la respuesta es enviada a la dirección IP pública.
El NAT, nuevamente, entra en acción y traduce la dirección IP pública a la dirección IP privada correspondiente, permitiendo que la computadora reciba la respuesta.

Es fundamental señalar que existen diferentes tipos de NAT:

NAT estático
NAT dinámico
Port Address Translation (PAT).

Cada uno de ellos tiene sus propias características y aplicaciones específicas.

Por ejemplo, el NAT estático asigna una dirección IP pública única a cada dirección IP privada, mientras que el NAT dinámico utiliza un grupo de direcciones IP públicas que se asignan de manera rotativa.

Por su parte, el PAT permite que múltiples dispositivos compartan una única dirección IP pública mediante la traducción de números de puerto, en lugar de direcciones IP.

En resumen

Al permitir que múltiples dispositivos compartan una única dirección IP pública, optimiza el uso de direcciones IPv4 y mejora la seguridad de las redes internas.

Además, su capacidad para traducir direcciones IP privadas en direcciones IP públicas y viceversa, facilita la comunicación entre dispositivos internos y externos, garantizando así una experiencia de usuario eficiente y sin contratiempos.

Cómo implementar NAT con MikroTik RouterOS

A continuación, te explicaremos en detalle cómo implementar NAT en un dispositivo MikroTik utilizando RouterOS.

1.- Accede a la interfaz de RouterOS

Primero, debes acceder a la interfaz de administración de tu dispositivo MikroTik. Puedes hacer esto mediante la herramienta gráfica “Winbox” en Windows, o a través de la interfaz web.

2.- Navega a la configuración de NAT

Una vez dentro de la interfaz de RouterOS, ve a la sección de “IP” en el menú principal y selecciona “Firewall”. Aquí encontrarás varias pestañas, incluida la de “NAT”.

3.- Agrega una nueva regla de NAT

Haz clic en el botón de “Agregar” (simbolizado con un signo “+”) para crear una nueva regla de NAT. Se abrirá una ventana de configuración donde podrás definir las propiedades de la regla.

4.- Define la cadena y la acción

En la ventana de configuración de la regla, selecciona la cadena (chain) apropiada, que es “srcnat” para NAT de origen o “dstnat” para NAT de destino. A continuación, elige la acción que deseas realizar, como “masquerade” (enmascarar) para NAT de origen o “dst-nat” (traducción de dirección de destino) para NAT de destino.

5.- Establece las condiciones de la regla

En esta etapa, debes especificar las condiciones bajo las cuales se aplicará la regla de NAT. Por ejemplo, si deseas aplicar NAT de origen para el tráfico que sale de tu red interna hacia Internet, puedes configurar la interfaz “Out. Interface” como la interfaz WAN y la “Address” (dirección) en la pestaña “Src. Address” como el rango de direcciones IP privadas de tu red interna.

6.- Configura la traducción de direcciones y puertos

Si estás configurando NAT de destino, es necesario especificar cómo se deben traducir las direcciones IP y los números de puerto. En la pestaña “Action”, selecciona “dst-nat” como la acción y, a continuación, establece la “To Addresses” (direcciones de destino) y los “To Ports” (puertos de destino) según sea necesario.

7.- Guarda y aplica la regla

Una vez que hayas configurado todos los parámetros necesarios, haz clic en “OK” para guardar la regla. La nueva regla de NAT aparecerá en la lista de reglas en la pestaña “NAT” del firewall.

8.- Verifica y monitorea la regla

Para asegurarte de que la regla de NAT esté funcionando correctamente, verifica el tráfico que pasa a través de la regla y revisa las estadísticas proporcionadas por RouterOS. Si es necesario, ajusta la configuración de la regla para mejorar su rendimiento o solucionar problemas.

Configuración en un router MikroTik con línea de comandos

Aquí tienes un ejemplo de cómo configurar NAT de origen (masquerade) en un dispositivo MikroTik utilizando la línea de comandos. Esta configuración permite que los dispositivos de la red interna accedan a Internet utilizando la dirección IP pública asignada al router MikroTik.

Supongamos que la interfaz WAN (conexión a Internet) es “ether1” y el rango de direcciones IP privadas de la red interna es “192.168.1.0/24”. La configuración de NAT de origen (masquerade) se vería de la siguiente manera:

				
					# Ingresa al terminal del router MikroTik
[admin@MikroTik] > 

# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN

# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP dinámica)
[admin@MikroTik] > ip dhcp-client add interface=WAN disabled=no

# Configura la dirección IP en la interfaz LAN (la interfaz que se conecta a la red interna)
[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=LAN

# Agrega la regla de NAT de origen (masquerade) para el tráfico que sale de la red interna hacia Internet
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

Este ejemplo es para configurar NAT de destino (dst-nat) en un dispositivo MikroTik utilizando la línea de comandos. Esta configuración permite que los usuarios de Internet accedan a un servidor web interno (por ejemplo, 192.168.1.100) en el puerto 80 a través de la dirección IP pública del router MikroTik.

Supongamos que la interfaz WAN es “ether1” y la dirección IP pública asignada al router MikroTik es “203.0.113.2”. La configuración de NAT de destino se vería de la siguiente manera:

				
					# Ingresa al terminal del router MikroTik
[admin@MikroTik] > 

# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN

# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP estática)
[admin@MikroTik] > ip address add address=203.0.113.2/24 interface=WAN

# Agrega la regla de NAT de destino (dst-nat) para el tráfico que ingresa desde Internet hacia el servidor web interno
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=203.0.113.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80

Estos ejemplos de configuración son aplicables si utilizas la línea de comandos en RouterOS. Sin embargo, también puedes aplicar estas configuraciones utilizando la herramienta gráfica “Winbox” o la interfaz web, siguiendo los pasos mencionados anteriormente.