hacer nat

56
Hacer NAT -Redirigir las peticiones externas a un puerto hacia un ordenador determinado- en el router Xavi 7028r . -Válido también para eMule- La mayor ventaja del multipuesto frente al monopuesto es que no hace falta tener un ordenador encendido para que los demás se conecten a Internet a través del router. El NAT sirve para que cada ordenador conectado en multipuesto pueda hacer de servidor en uno, varios, o todos los puertos. Debemos tener en cuenta que, si tenemos varios ordenadores en una red interna, y una sola IP pública, cuando se hacen peticiones desde el exterior a, por ejemplo, un servidor web en nuestra IP pública en el puerto 80, el router no sabría a cuál de los ordenadores debe redirigir esas peticiones web porque no sabe en cuál de nuestros ordenadores está el servidor web, a menos que se le haya especificado al router que las peticiones a ese puerto deben ir dirigidas a ese ordenador. Aquí explicaremos cómo hacer NAT, cómo redirigir las peticiones externas en determinados puertos al ordenador que queramos. Por ejemplo, en una configuración multipuesto de siete ordenadores se podrían redirigir todas las peticiones que se hagan desde el exterior al puerto tcp 80 (todas las peticiones de páginas web) a aquél de los siete en el que tenemos alojado nuestro servidor de páginas web. Hay algunos juegos y algunos programas P2P que también necesitan hacer de servidor en determinados puertos y, a menos que tengamos un sólo ordenador configurado en monopuesto, deberemos hacer NAT. Por ejemplo, para conseguir una identidad alta y mejores tasas de transferencia en la versión actual del eMule

Upload: dlanz

Post on 03-Jul-2015

1.590 views

Category:

Documents


10 download

TRANSCRIPT

Page 1: Hacer NAT

Hacer NAT -Redirigir las peticiones externas a un puerto hacia un ordenador determinado- en el router   Xavi 7028r .

-Válido también para eMule-

La mayor ventaja del multipuesto frente al monopuesto es que no hace falta tener un ordenador encendido para que los demás se conecten a Internet a través del router.

El NAT sirve para que cada ordenador conectado en multipuesto pueda hacer de servidor en uno, varios, o todos los puertos.

Debemos tener en cuenta que, si tenemos varios ordenadores en una red interna, y una sola IP pública, cuando se hacen peticiones desde el exterior a, por ejemplo, un servidor web en nuestra IP pública en el puerto 80, el router no sabría a cuál de los ordenadores debe redirigir esas peticiones web porque no sabe en cuál de nuestros ordenadores está el servidor web, a menos que se le haya especificado al router que las peticiones a ese puerto deben ir dirigidas a ese ordenador.

Aquí explicaremos cómo hacer NAT, cómo redirigir las peticiones externas en determinados puertos al ordenador que queramos.

Por ejemplo, en una configuración multipuesto de siete ordenadores se podrían redirigir todas las peticiones que se hagan desde el exterior al puerto tcp 80 (todas las peticiones de páginas web) a aquél de los siete en el que tenemos alojado nuestro servidor de páginas web.

Hay algunos juegos y algunos programas P2P que también necesitan hacer de servidor en determinados puertos y, a menos que tengamos un sólo ordenador configurado en monopuesto, deberemos hacer NAT.  Por ejemplo, para conseguir una identidad alta y mejores tasas de transferencia en la versión actual del eMule (la v0.30e a 13 de enero de 2004), necesitamos redirigir las peticiones externas a los puertos tcp 4662 y udp 4672 hacia la IP interna de la máquina que tenga el eMule.

Procedimiento:

Para conseguir redirigir puertos (hacer NAT) en el Xavi debemos hacer lo siguiente (como ejemplo, redirigimos las

Page 2: Hacer NAT

peticiones al puerto tcp 80 a la dirección 192.168.1.2):

Vamos al navegador y escribimos la dirección del Xavi, por defecto es la: http://192.168.1.1  e introducimos nombre y contraseña.

Vamos a Configuration --> Security y, en la sección "Security interfaces", pinchamos en "Advanced NAT Configuration", luego pinchamos en "Add Reserved Mapping".

En el primer campo: "Global IP Address" dejamos lo que hay: 0.0.0.0 -o lo cambiamos por nuestra IP pública, es lo

Page 3: Hacer NAT

mismo- se trata de la dirección a la que se hacen las peticiones desde el exterior.

En el segundo campo: "Internal IP Address" escribimos la dirección interna del ordenador al que queremos redirigir las peticiones (al que queremos hacer NAT), por ejemplo al 192.168.1.2

En el tercer campo: "Transport Type" escribimos el tipo de protocolo al que pertenece el puerto al que se dirigen las peticiones externas: tcp, udp, ... etc el que sea.  ("All" para todos los protocolos.)

Y en el cuarto campo: "Port Number" escribimos el puerto al que se hacen las peticiones, o lo dejamos a 0 si queremos hacer NAT de todos los puertos a esa IP interna.

Si hacemos NAT de todos los protocolos y todos los puertos al mismo ordenador, ese ordenador queda en una configuración similar a monopuesto con la ventaja de que los demás siguen pudiendo conectar a internet aunque él no esté encendido.

Finalmente lo actívamos pinchando en "Add Reserved Mapping".

Y grabamos la nueva configuración para que los cambios que hemos hecho permanezcan la próxima vez que encendamos el router (para grabarla hay que ir a Configuration --> Save Configuration --> Confirm Save).

Nota:  éste es un ejemplo típico sobre cómo se pueden redireccionar peticiones a cualquier puerto.  Si realmente el puerto que se redirecciona es el 80 hay que mencionar una particularidad de este router:  si se entra a visitar una página desde la propia red interna escribiendo la IP pública en el navegador, el que nos responderá seguirá siendo el servidor web que posee el propio router y no el servidor web a donde hemos redirigido las peticiones.  Pero esto no es problema ya que si hacemos peticiones al puerto 80 desde el exterior hacia nuestra IP pública, estas peticiones SÍ que serán atendidas por el computador donde tengamos nuestro servidor web.

Josechuhttp://www.josechu.com/index_es.htm

Primera publicación: 2003-10

Page 4: Hacer NAT

Último cambio: 2006-07-31

Page 5: Hacer NAT

Traductor de dirección de red (NAT)1.2. Traductor de dirección de red (NAT) 3. Aplicación 4. Operación básica 5. Manipulación de cabeceras 6. NAT con múltiples direcciones 7. Ejemplos de configuración 8. Conclusiones 9. Acrónimos 10.Bibliografía

INTRODUCCIÓN:

El uso de redes de computadoras en las empresas ha crecido y continúa creciendo drásticamente, en la mayoría de estos casos estas redes son de uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las direcciones IP públicas hace que adquirirlas sea costoso ([2], problema planteado en el capítulo 4), razón por la cuál las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son inválidas para su uso fuera de la red interna.

Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traducción de direcciones que permita que con una sola conexión a la red de redes y unas cuantas direcciones IP válidas [1], de esta manera se puede tener un buen control sobre la seguridad de la red y sobre el tipo de información intercambiada con redes externas.

La topología de red fuera de un dominio local puede cambiar de muchas maneras. Los clientes pueden cambiar proveedores, los backbones (conexiones de Internet con gran ancho de banda) de las compañías pueden ser reorganizados o los proveedores pueden unirse o separarse. Siempre que la topología externa cambie, la asignación de dirección para nodos en el dominio local puede también cambiar para reflejar los cambios externos. Este tipo de cambios deben ser implementados en el router de acceso a Internet y de esta manera, pueden ser ocultados a los usuarios de la rede interna de la organización [3].

TRADUCTOR DE DIRECCIÓN DE RED (NAT):

La "Traducción de Direcciones de Red", Network Address Translation (NAT), es un método mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a las máquinas finales [4]. Existen muchas variantes de traducción de direcciones que se prestan a distintas aplicaciones. Sin embargo todas las variantes de dispositivos NAT debería compartir las siguientes características:

Asignación transparente de direcciones.

Page 6: Hacer NAT

Encaminamiento transparente mediante la traducción de direcciones (aquí el encaminamiento se refiere al reenvío de paquetes, no al intercambio de información de encaminamiento).

Traducción de la carga útil de los paquetes de error ICMP

APLICACIÓN:

Como se explicó en el anterior punto, la traducción de la dirección de red, se aplica en redes que fueron implementadas con direcciones IP privadas y necesitan tener un acceso a Internet, se debe solicitar a un proveedor un rango de direcciones válidas para poder asociar dichas direcciones válidas con los hosts que tengan direcciones inválidas y necesiten salida a Internet.

Esta situación ocurre frecuentemente en las empresas que tienen redes internas grandes, también puede darse el caso que el proveedor sólo asigne una dirección válida a la empresa, en esta situación se configura a NAT para que diferentes hosts dentro de la empresa puedan acceder a Internet mediante esta única IP válida asignada por el proveedor, en este caso la configuración del router con NAT asocia además de la dirección IP, un puerto para direccionar correctamente los paquetes a los diferentes hosts (estas dos situaciones serán explicadas más ampliamente en la siguiente sección). Estos problemas también pueden presentarse en redes caseras más pequeñas y son una solución factible para habilitar una conexión a Internet sin tener que hacer una reconfiguración de la red interna, además que el proceso de traducción de direcciones IP es transparente al usuario final que no se da cuenta de lo que pasa.

OPERACIÓN BÁSICA:

Para que una red privada tenga acceso a Internet, el acceso debe ser por medio de un dispositivo ubicado en la frontera de las dos redes que tenga configurado NAT para la traducción de direcciones, en estos casos lo más conveniente es poner a un router para que los paquetes sean enviados hacia él. Existen dos tipos de asignación de direcciones:

Asignación estática de direcciones, en el caso de asignación estática de direcciones, existe un mapeo uno a uno de direcciones para las máquinas entre una dirección privada de red y una dirección externa de red durante el tiempo en funcionamiento del NAT. La asignación estática de direcciones asegura que NAT no tiene que administrar la gestión de direcciones con los flujos de sesión[4].

Page 7: Hacer NAT

Figura 1: NAT estático: cuando el host 192.168.0.2 envía un paquete al servidor 207.28.194.84

tiene en la cabecera de sus paquetes los datos mostrados en "A", al pasar estos paquetes por el

router NAT, los datos son modificados y llegan al servidor con los datos mostrados en "B". Las

relaciones de direcciones de la tabla del router son puestas estáticamente

Asignación dinámica de direcciones, en este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. Cuando la última de las sesiones que use una dirección asociada termine, NAT liberará la asociación para que la dirección global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignación de direcciones es específica de cada implementación de NAT[4].

Page 8: Hacer NAT

 Para ver el gráfico seleccione la opción "Descargar" del menú superior

Figura 2: NAT dinámico: en este caso sucede lo mismo que en el anterior con las cabeceras de

los paquetes que salen de "A", en este caso la tabla muestra una lista con las direcciones válidas

disponibles para ser usadas, estas direcciones son asignadas dinámicamente a los hosts.

1.1 NAT tradicional:

La operación de Traducción de Dirección a analizar se denomina "NAT Tradicional", existen otras variantes de NAT que no serán exploradas. En un NAT tradicional, las sesiones son unidireccionales, salientes de la red privada. Las sesiones en la dirección opuesta pueden ser permitidas en una base excepcional usando mapeos de dirección estáticos para hosts preseleccionados. Existen dos variantes del NAT Tradicional: NAT Básico y NAPT (Network Address Port Translation).

1.1.1 NAT Básico:

La operación de NAT Básico es como se describe a continuación: una zona con un conjunto de direcciones de red privadas puede ser habilitada para comunicarse con una red externa mapeando dinámicamente el conjunto de direcciones privadas a un conjunto de direcciones de red válidas globalmente, cada dirección tiene garantizada una dirección global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener acceso simultáneo a la red externa son limitados por el número de direcciones en el conjunto global.

Direcciones locales individuales pueden ser estáticamente mapeadas a direcciones globales específicas para asegurarse acceso garantizado hacia fuera o para permitir acceso al host local desde hosts externos mediante una dirección pública fija. Sesiones múltiples simultáneas pueden ser iniciadas desde un nodo local, usando el mismo mapeo de dirección.

Las direcciones dentro de la zona son locales para este dominio y no son válidas fuera de él. De este modo, las direcciones dentro de la zona pueden ser reusadas por alguna otra. Por ejemplo, una sola dirección de clase A puede ser usada por muchas zonas. En cada punto de salida entre una zona y el backbone, NAT está instalado. Si hay mas de un punto de salida es de gran importancia que cada NAT tenga la misma tabla de traducción[3].

En el ejemplo de la Figura 3 la red de la derecha tiene las direcciones de clases A 10.0.0.0, en 1 una máquina ubicada en una red externa con dirección 130.57.52.13 envía un paquete a la dirección 130.57.199.13, en 2 el paquete llega al router NAT el cuál traduce la dirección de destino 130.57.199.13 por la dirección 10.0.0.1 que es la dirección verdadera del host destino, esto se ve en 3, en 4 la máquina envía una respuesta con dirección fuente 10.0.0.1, al pasar por el router NAT la dirección de fuente de la respuesta es modificada por la dirección 130.57.199.13 que es una dirección global única, esto se ve en 5.

Se puede ver la tabla de traducción que tiene el router, en la cuál se observa la asociación de direcciones locales con las direcciones que usarán en Internet.

Para ver el gráfico seleccione la opción "Descargar" del menú superior  

Figura 3: NAT Básico: a cada host de la red se le asigna una dirección global única.

Page 9: Hacer NAT

Todo este proceso no requiere cambios en el host o en el router, las traducciones de dirección son transparentes para los hosts finales.

1.1.2 Traducción de Dirección de Red y Puerto – NAPT

Digamos, una organización tiene una red IP privada y una conexión WAN a un proveedor de servicio. El router de zona de la red privada es asignado a una dirección válida globalmente en la conexión WAN y los demás nodos en la organización usan direcciones IP que tienen sólo significado local. En este caso, a los nodos en la red privada se les puede permitir acceder simultáneamente a la red externa, usando la única dirección IP registrada con la ayuda de NAPT. NAPT permitiría mapeos de tuplas del tipo (direcciones IP local, número de puerto TU local) a tipos del tipo (dirección IP registrada, número de puerto TU asignado).

Este modelo es adecuado para muchos grupos de redes pequeñas para acceder a redes externas usando una sola dirección IP asignada del proveedor de servicio. Este modelo debe ser extendido para permitir acceso entrante mapeando estáticamente un nodo local por cada puerto de servicio TU de la dirección IP registrada[3].

En el ejemplo de la Figura 4 la red interna maneja el rango de direcciones 192.168.0.0 de clase C, la interface del router que se comunica con Internet tiene asignada la dirección 206.245.160.1.

Cuando el host con dirección 192.168.0.2 envía un paquete http (puerto destino 80) al servidor 207.28.194.84, en la cabecera de los paquetes se envía la información mostrada en "A" donde se indica la dirección fuente como Src y la dirección destino como Dst estos paquetes son enviados al router NAT ubicado al centro del gráfico.

El router tiene configurado NAPT y lo que sucede es que se traduce la tupla de dirección de origen 192.168.0.2 y puerto origen 1108 en los encabezados IP y TCP por la tupla 206.245.160.1 que es una dirección globalmente única y al puerto 61001 antes de reenviar al paquete, es decir los paquetes salen del router con los datos mostrados en "B".

Los paquetes de regreso que sean enviados por el servidor web, pasan por una traducción de dirección y puerto similar por la dirección IP de destino y puerto TCP de destino. Se observa que esto no requiere de cambios en los hosts o en los routers. La traducción es completamente transparente para los usuarios.

En el gráfico se muestra la tabla de asignación de los hosts con las direcciones de los hosts de la red interna con sus respectivos puertos y la asociación de puertos con los que será enviada la información afuera.

Para ver el gráfico seleccione la opción "Descargar" del menú superior

Figura 4: NAPT: ejemplo de funcionamiento de NAPT, se usa una sola dirección IP válida

y se conectan diferentes hosts de la red interna hacia Internet por diferentes puertos.

1.2 Fases de Traducción:

Page 10: Hacer NAT

Lingando la dirección, con NAT Básico, una dirección privada es ligada a una dirección externa, cuando la primera sesión saliente es iniciada desde el host privado. Después de esto, todas las otras sesiones salientes originadas desde la misma dirección privada usarán la misma dirección unida por la traducción de paquete.

En el caso de NAPT, donde muchas direcciones privadas son mapeadas a un sola dirección globalmente única, la unión sería desde la tupla de (dirección privada, puerto TU privado) a la tupla de (dirección asignada, puerto TU asignado). Como con NAT Básico, esta unión es determinada cuando la primera sesión saliente es iniciada por la tupla de (dirección privada, puerto TU privado) en el host privado.

Búsqueda y traducción de dirección, Después de que una unión de dirección o unión de tupla (dirección, puerto TU) en el caso de NAPT es establecida, se puede mantener un estado para cada una de las conexiones usando la unión. Los paquetes pertenecientes a la misma sesión estarán sujetos a la búsqueda de sesión para propósitos de traducción. La naturaleza exacta de la traducción es discutida en la sección siguiente.

Desligando la dirección, Cuando la última sesión basada en una unión de dirección o de tupla (dirección, puerto TU) es terminada, su unión puede ser terminada[3].

MANIPULACION DE CABECERAS:

En el modelo NAT Básico, el encabezado IP de todos los paquetes debe ser modificado. Esta modificación incluye la dirección IP (dirección IP origen para paquetes salientes y dirección IP destino para paquetes entrantes) y la suma de control IP.

Para las sesiones TCP y UDP, las modificaciones deben incluir actualización de la suma de control en los encabezados TCP/UDP. Esto es porque la suma de control de TCP/UDP también cubre un pseudoencabezado que contiene las direcciones IP origen y destino. Como una excepción, los encabezados UDP con suma de control 0 no deben ser modificados. Como para los paquetes de petición ICMP, no son requeridos cambios adicionales en el encabezado ICMP como la suma de control en el encabezado ICMP que no incluye las direcciones IP[3].

En el modelo NAPT, las modificaciones al encabezado IP son similares a las del modelo NAT Básico. Para las sesiones TCP/UDP, las modificaciones deben ser extendidas para incluir la traducción del puerto TU (puerto TU origen para paquetes salientes y puerto TU destino para paquetes entrantes) en el encabezado TCP/UDP. El encabezado ICMP en los paquetes de petición ICMP deben también ser modificados para reemplazar el ID de petición y la suma de control del encabezado ICMP. La suma de control del encabezado ICMP debe ser corregida para contar la traducción del ID de petición.

Estas son algunas de las modificaciones efectuadas:

Ajuste de la suma de control, las modificaciones de NAT son por paquete y puede ser un cómputo muy intensivo, ello involucra una o más modificaciones a la suma de control, inclusive para traducciones de un sólo campo[3].

Modificaciones al paquete de error ICMP, los cambios al mensaje de error ICMP incluirán cambios a los encabezados IP e ICMP en la capa saliente como bien cambios a los encabezados de los paquetes embebidos en la carga útil del mensaje ICMP-error.

Page 11: Hacer NAT

El método para NAT debe ser transparente para el host-final, la dirección IP del encabezado IP embebido en la carga útil del mensaje ICMP-error debe ser modificado, el campo de suma de control del encabezado IP embebido debe ser modificado, y finalmente, la suma de control del encabezado ICMP debe también ser modificada para reflejar los cambios a la carga útil[3].

Manipulando la opción IP, un datagrama IP con una de las opciones IP de Registrar Ruta, Encaminamiento de Origen Fijo o Encaminamiento de Origen No Estricto involucraría registro o uso de direcciones IP de routers intermedios. Un router NAT intermedio puede elegir no soportar estas opciones o dejar las direcciones sin traducir mientras que si procesa las opciones. El resultado de dejar las direcciones sin traducir sería que direcciones privadas a lo largo del encaminamiento origen son expuestas de extremo a extremo. Esto no debe poner en peligro la ruta atravesada por el paquete, de hecho, como cada router se supone que mira sólo al próximo salto[3].

En general, NAT no debería trabajar con ninguna aplicación que envíe direcciones IP o puertos como datos. Por ejemplo, cuando dos programas usan FTP mantienen una conexión TCP entre ellos. Como parte del protocolo, un programa obtiene un número de puerto en la máquina local, y envía los datos por la conexión TCP al otro programa. Si la conexión entre los programas pasa por medio de un router configurado con NAPT, el puerto podría ser cambiado y reemplazado por el puerto que NAPT le asigne. Así, si NAT falla al cambiar el número de puerto, el protocolo podría fallar. Las implementaciones de NAT fueron creadas para reconocer puertos conocidos como el de FTP y hacer los cambios necesarios en el flujo de datos. Pero existen aplicaciones que no pueden ser usadas con NAT[1].

NAT CON MÚLTIPLES DIRECCIONES:

La configuración NAT con múltiples direcciones se refiere al NAPT mediante el cuál, como ya se explico, un grupo de hosts en una red privada pueden tener salida a redes externas con una sola dirección global mediante la asociación de direcciones IP y puertos TU. Se pueden tener varias direcciones globales asignadas a la red y por cada dirección pueden salir grupos de hosts a redes externas(este tema está explicado en el punto 4.1-2 de este informe).

En la configuración NAT Básico, cuando los nodos de la red privada agotan las direcciones globales disponibles para el mapeo, el acceso a la red externa para algunos de los nodos locales es abruptamente cortado cuando la última dirección IP válida de la lista fue asignada.

Esto es un inconveniente y puede ser evitado permitiendo que el router NAT Básico pueda conmutar a una configuración NAPT para la última dirección global de la lista de direcciones. Haciendo esto asegurará que los hosts de la red privada tengan continuidad en el acceso a los nodos externos y servicios para la mayoría de las aplicaciones[3].

EJEMPLOS DE CONFIGURACIÓN:

Ejemplificaremos como debe ser la configuración de NAT estático, NAT dinámico y NAPT en ese orden[5].

Configuración NAT estático:

Para configurar NAT estático se deben seguir los siguientes pasos:

Definir el mapeo de las direcciones estáticas:

Page 12: Hacer NAT

ip nat inside source static local-ip global-ip

ip nat inside source static network local-network global-network mask

Especificar la interfaz interna

ip nat inside

Especificar la interfaz externa

ip nat outside

Ejemplo:

  R# configure terminal

R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1

R(config)# interface e0

R(config-if)# ip nat inside

R(config-if)# exit

R(config)# interface s0

R(config-if)# ip nat outside

R(config-if)# exit

R(config)# exit

R#

Configuración NAT dinámico:

Para configurar NAT dinámico se deben seguir los siguientes pasos:

Crear un conjunto de direcciones globales:

ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length}

Crear una ACL que identifique a los hosts para la traslación

access-list access-list-number permit source {source-wildcard}

Page 13: Hacer NAT

Configurar NAT dinámico basado en la dirección origen

ip nat inside source list access-list-number pool name

Especificar la interfaz interna

ip nat inside

Especificar la interfaz externa

ip nat outside

Ejemplo:

 R# configure terminal

R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask

255.255.255.0

(config)# access-list 2 permit 10.1.1.0 0.0.0.255

R(config)# ip nat inside source list 2 pool fib-xc

R(config)# interface e0

R(config-if)# ip nat inside

R(config-if)# exit

R(config)# interface s0

R(config-if)# ip nat outside

R(config-if)# exit

R(config)# exit

R# show ip nat translations

Configuración NAPT:

Para configurar NAPT se deben seguir los siguientes pasos:

Crear un conjunto de direcciones globales (puede ser una sola dirección):

Page 14: Hacer NAT

ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length}

Crear una ACL que identifique a los hosts para la traslación

access-list access-list-number permit source {source-wildcard}

Configurar PAT basado en la dirección origen

ip nat inside source list access-list-number pool name overload

Especificar la interfaz interna

ip nat inside

Especificar la interfaz externa

ip nat outside

Ejemplo: Usaremos hasta 30 direcciones internas globales, cada una de las cuales hace NAPT

 R# configure terminal

R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask

255.255.255.0

(config)# access-list 2 permit 10.1.1.0 0.0.0.255

R(config)# ip nat inside source list 2 pool fib-xc overload

R(config)# interface e0

R(config-if)# ip nat inside

R(config-if)# exit

R(config)# interface s0

R(config-if)# ip nat outside

R(config-if)# exit

R(config)# exit

Page 15: Hacer NAT

R# show ip nat translations

En el caso de que no haya un conjunto de direcciones globales podemos usar la dirección asignada a la interficie "s0" de la siguiente manera:

R(config)# ip nat inside source list 2 interface s0 overload

Verificación de una configuración NAT

Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado):

show ip nat translations

show ip nat translations verbose

show ip nat statistics

debug ip nat (no debug ip nat)

clear ip nat translations elimina todas las traslaciones NAT

CONCLUSIONES:

Gracias a la invención de NAT, se detuvo el agotamiento de las direcciones IP válidas, porque permite que varios hosts dentro de una red privada, tengan acceso a Internet con sólo usar unas pocas direcciones IP válidas. Esta es una gran ventaja porque le dio un respiro a IPv4 para que no colapse rápido y dio tiempo para la creación de una nueva versión de IP (IPv6) que soluciones el problema de agotamiento de direcciones([2] tema tratado en el capítulo 29).

Aunque un router que utiliza NAT no es un cortafuegos (firewall), provee de cierta seguridad, porque los hosts externos a la red no conocen las direcciones verdaderas de los hosts que se encuentran dentro de la red privada, haciendo que sea difícil poder realizar un ataque desde hosts externos.

Una desventaja de NAPT es cuando se debe traducir paquetes fragmentados TCP/UDP, sólo el primer fragmento contiene el encabezado TCP/UDP que sería necesario para asociar el paquete a una sesión para la traducción. Los fragmentos siguientes no contienen información del puerto TU, simplemente llevan el mismo identificador de fragmentación especificado en el primer fragmento. El problema se presenta cuando dos hosts de la red privada originan paquetes TCP/UDP fragmentados al mismo host destino, si por coincidencia usaron el mismo identificador de fragmentación, cuando el host destino recibe los datagramas de ambas fuentes (que no tienen relación entre si) con el mismo identificador de fragmentación y desde la misma dirección de host asignada, es incapaz de determinar a cual de las dos sesiones pertenece cada datagrama y las dos sesiones se corrompen.

ACRÓNIMOS:

FTP: File Transfer Protocol (protocolo de transferencia de archivos)

Page 16: Hacer NAT

HTTP: Hyper Text Transfer Protocol (protocolo de transferencia de hipertexto)

ICMP: Internet Control Message Protocol (protocolo de control de mensajes de Internet)

IP: Internet Protocol (protocolo de Internet)

IPv4: Versión número 4 del protocolo de Internet

IPv6: Versión número 6 del protocolo de Internet

LAN: Local Area Network (red de area local)

NAPT: Network Address Port Translation (traducción de dirección de red y puerto)

NAT: Network Address Translation (traducción de dirección de red)

Puerto TU: Puerto TCP – UDP

TCP: Transfer Control Protocol (protocolo de control de transferencia)

UDP: User Datagram Protocol (protocolo de datagrama de usuario)

WAN: World Area Network (red de area amplia)

BIBLIOGRAFÍA:

[1] COMER Douglas

Internetworking with TCP/IP volume 1 - 4ta edición

Editorial Prentice-Hall Inc.

[2] COMER Douglas

Redes Globales de Información con Internet y TCP/IP - 3ra edición

Editorial Prentice-Hall Inc.

[3] RFC 3022 – Traductor de Dirección de Red IP Tradicional (NAT Tradicional)

Página: http://www.rfc-es.org/getfile.php?rfc=3022 última revisión 16 / II / 2005

[4] RFC 2663 – Terminología y consideraciones sobre Traducción de Direcciones IP

Página: http://redes-linux.all-inone.net/rfc-es/rfc2663-es.txt última revisión 16 / II / 2005

[5] José M. Barceló Ordinas

Ejemplos de NAT con IOS

Page 17: Hacer NAT

Página: http://studies.ac.upc.edu/FIB/XC/XC-Lab-7-NAT.pdf última revisión 16 / II / 2005

Realizado por:

Ing. Raúl Antelo Jurado

Trabajo realizado para la Maestría en Telemática

UMSS – CUJAE Cochabamba – Bolivia

Febrero del 2005

Como veo mis cámaras IP remotamente??

SOLUCION : RECUERDEN QUE LAS COMPAÑIAS DE TELEFONIA IP Y DE TELEVISION POR CABLE QUE DAN EL SERVICIO DE INTERNET. TIENEN TODOS LOS PUERTOS CERRADOS YO TAMBIEN TENIA EL MISMO PROBLEMA MI SOLUCION FUE INSTALAR UN ROUTER LINKSYS CON EL ABRI EL PUERTO 8000 AL MISMO QUE LE PUSE A MI DVR ESTO TAMBIEN SE PUEDE PONER A UNA CAMARA IP, TAMBIEN A MI CAMARA LE ASIGNE UNA DIRECCION IP 192.168.1.XX PUERTO 8000 OJO TAMBIEN HAY QUE VER QUE EL ROUTER DETECTE TU IP PARA QUE ESTE REDIRECCIONE A LA CAMARA O A UN DVR. OJO LOCALMENTE NO PODRAN ENTRAR A SUS CAMARAS POR QUE REDIRECCIONA EL ROUTER A TU CAMARA SI ACCESAS LOCALMENTE HASLO POR IP. DILE ALGUN AMIGO EN EL MSN QUE ACCESE A TUS CAMARAS DESDE OTRA RED. CUALQUIER DETALLE O PROBLEMA QUE TENGAN ESCRIBAN A [email protected] www.cctvsoluciones.mex.tl abrir puertos http://www.adslzone.net/tutorial-34.2.html

Intenta usando el NAT de tu router ( NETWORK ADDRES TRASLATION) esta herramienta hace que cuando tu coloques la direcion IP dinamica de tu proveedor ( o la direccion con el DNS ya que esto lo que hace es actualizar la direccion ip cada vez que arranques tu computador o cada vez que el proveedor de internet te la cambie.) , el router se enrute hacia la direccion donde esta instalada la IP en su red interna. los datos para el NAT van a ser la direcion en la red de la cam ip. ( 192.186. X. X) pones la opcion TCP . tambien suele suceder que algunos proveedores de internet, aveces asignan una direccion IP de la red para poder acceder a camaras remotas. Primero utilzas el NAT.

lo unique que debes hacer es en el DMZ de tu router colocar la direccion privada de la camara, inmediatamente esta saldra a internethttp://download.conceptronic.net/...

Hola, si tienes 2 camaras IP y tienes IP dinamica tienes 2 formas para poder ver las camaras desde internet.

Page 18: Hacer NAT

1. Debes configurar los Virtual Server en router ADSL, y a una de las camaras debes de cambiarle el puerto de escucha del servicio WEB que por defecto es el puerto 80.

2. Comprar un router adicional y configurar el DMZ en el Router de Internet a la direccion IP local de tu nuevo router, adicionalmente configurar los virtual server en tu nuevo router para que dirija las peticiones de tus camaras.

te voy a dar un ejemplo: desde tu nevegador digitarias lo siguiente:

http://www.micuentaDdns.com:80 - Esto para la camara 1 http://www.micuentaDdns.com:81 - Esto para la camara 2

Mikrotik

Guia paso-a-paso de Mikrotik

Tabla de contenido

• 1 Introducion

Page 19: Hacer NAT

• 2 Como realizar NAT en Mikrotik

• 3 Como amarrar IP/MAC

• 4 Configurando el WEB-PROXY

• 5 Control de banda

• 6 Acesso remoto a outro Mikrotik

• 7 Controle P2P (Muy Bueno)

• 8 BACKUP e restauracion

• 9 Limitar conexiones por cliente

• 10 Servidor PPPoE y Servidor de Clientes

• 11 Amarrar faixa de IP no DHCP

• 12 Configurando o HOTSPOT

• 13 Configuraçion de dos tarjetas Wireless

• 14 Conociendo lasfunçiones de menu do WINBOX ***en contruccion ***

• 15 Instalaçion de MIKROTIK (Link Dedicado)

• 16 Configurando Servidor de Hora Automático

• 17 Lista de SCRIPTS y Ejemplos Utiles

• 18 Configurando Liberaçion Automática de Banda por hora determinada

• 19 LOADBALANCE – Vista General de aplicacion

• 20 LOADBALANCE - ADSL X ADSL

• 21 LOADBALANCE - ADSL X LINK DEDICADO

• 22 LOADBALANCE - DIVIDINDO CARGA DE FORMA PERSONALIZADA ENTRE dos LINKS

• 23 Mk como AP-bridge

• 24 FIREWALL

• 25 Gráficos em Tiempo Real de Mikrotik

Introduccion

Busque en este paso a paso, ajuda de cierta forma, aquellos que sienten dificultades para realizar simples tareas en SO, Mikrotik.

Basicamente y estrutura de todo este passo-a-passo y de facill ejecución de procedimientos, orientados por simples textos e

imágenes.

Page 20: Hacer NAT

Agradesço a todos, que colaboraran o colaboran directa o indirecta mente para realizarlo

Esta expresamente prohibida la venta o cualquier otra forma de remuneración por medio de este material. Y permito divulgar,

colaborar, sugerir corrreciones de este material.

ATENCION: ERS GRATIS TODO QUE ESTÁ AQUI ES GRATIS GRÁTIS

Realice este material paso a paso para ayudar a los iniciados en este excelente sistema operativo para Ruteadores

Como Hacer NAT en Mikrotik

Aceda a Menú IP, FIREWALL

Escoja Opción NAT

Crea una nueva regla (“+”)

En “CHAIN” escoja a opción “srcnat”, en OUT INTERFACE (SAÍDA), escoja una interfase que lo conecta a Internet

En Opción “ACTION”, escoja a opción “MASQUERAD”.

Luego!! Su NAT está perfectamente configurado.

Como amarrar IP/MAC

Seleccione menú IP, ARP

Crea una Nueva “ARP” (botón “+”)

Digite una IP da máquina para amarrar, o MAC ADDRESS e a INTERFACE a la a máquina será ligada.

En COMMENT, de un Nombre de la ARP, como un ejemplo

Seleccione , INTERFACE

Como último procedimiento, UD debe habilitar en su interfase, o ARP para reply-only.

Configurando o WEB-PROXY

Page 21: Hacer NAT

Seleccione IP, WEB-PROXY

Seleccione en botón “SETTINGS”

Deberá aparecer una ventana como esta

Configure de acuerdo a sus necesidades...

SRC-ADDRESS = Deje en blanco

PORT = Escoja puerto de su web-proxy

TRANSPARENT PROXY = Deje marcado para proxy transparente

PARENT PORT = Deje en Blanco

PARENT PROXY PORT = Deje en blanco

CACHE ADMINISTRATOR = Deje como está

MAXIMUM OBJECT SIZE = Deje como está

CACHE DRIVE = Deje como “system”

MAXIMUM CACHE SIZE = Define o tamaño do su cache, varia de acuerdo al tamaño de su Disco Duro

MAXIMUM RAM

CACHE SIZE = Define o tamaño máximo de su memoria RAM para el cache

Luego configurar estos parámetros, seleccione “ENABLE”

Luego configurar estos parámetros, Seleccione “ENABLE”

No se debe Poner CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc etc...)

Dos reglas se deben ser colocadas en avance "CACHE" do Web-Proxy para tal efecto

IP / WEB-PROXY / CACHE

Crear una nueva regla (boton “+”)

add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" \ disabled=no

add url="https://" action=deny comment="no cache dynamic https pages" \ disabled=no

Un segundo paso para nuestro WEB-PROXY funcione Realizar una nueva regla para re-direccionar los requisitos primarios para un

Page 22: Hacer NAT

proxy, para Eso :

Seleccione IP, FIREWALL

Escoja “NAT”

Crear una Nueva Regla (botón “+”)

Crear de la siguiente Forma:

• CHAIN = DSTNAT

• PROTOCOL = 6 (TCP)*

• DST. PORT = 80

• IN. INTERFACE = INTERFACE DOS CLIENTES

A Continuación “ACTION”

Escoja en “ACTION” la Opción “REDIRECT” y en “TO PORT” escoja ala puerta de su vproxy (definida anteriormente en el comienzo de

este Tópico).

Es Interesante realizar una regla para cada interfase de asignada. En este caso se coloco 2 Interfaces (LAN/WLAN), se crean dos reglas

una para cada interfase

Es Importante Realizar una Regla de bloqueo externo al web-proxy. En el caso que ud no realice esta regla Ella sobrecargara su proxy,

atascando su servicio Siga Abajo:

Seleccione menú IP, FIREWALL

Seleccione “FILTER RULES”

Crear una Nueva Regla (botón “+”)

Seguir la configuración:

• CHAIN = INPUT*

• PROTOCOL = 6 (TCP)

Page 23: Hacer NAT

• DST PORT = PORTA DO SEU WEB-PROXY

• IN. INTERFACE = INTEFACE DE SALÍDA (LINK DE INTERNET)

Seleccione “ACTION”

En “ACTION” escoja la opción “drop”.

EM COMMENT podrá colocar un nombre en este caso podrá ser “BLOQUEO DE PROXY EXTERNO”.

Con este Paso a paso UD Creo y habilito su Web Proxy y También realizo el bloque del acceso externo a el .

Controle de banda

Seleccione , QUEUE

Crear un Nuevo control de banda( Botón”+”)

Configure como sigue

• NAME = Nombre de "dueño" de configuración – Nombre del cliente

• TARGET ADDRESS = IP que irá controlar a banda

• TARGET UPLOAD – MAX LIMIT = Tasa de upload (Colocar “k” Minúscula Al final)

• TARGET DOWNLAOD – MAX LIMIT = Tasa de download (Colocar “k” minúscula Al final)

Controle de banda concluido. Solamente si es nesesario.

Acceso remoto desde afuera de su Mikrotik

PS: Para tener acceso externo de su AP en su red, deberá habilitar la Función “ATIVAR GERENCIAMENTO de la Puerta WAN” de su

rádio.

Simples. Basta Crear Tres Reglas no firewall. Como se demuestra Abajo:

Seleccione IP, FIREWALL

Elija “NAT”

Page 24: Hacer NAT

Crear una Nueva Regla (botón “+”)

Siga los procedimientos de abajo:

• CHAIN = DSTNAT

• DST. ADDRESS = Dirección IP do MK principal

• PROTOCOL = 6 (TCP)

• DST. PORT = 4040 (Puerta Principal del Firewall)

Elija “ACTION”

Siga la instrucciones de mas abajo:

• ACTION = DSTNAT

• O ADDRESS = Dirección IP do AP que desea Acceder.

• TO PORT = Puerto de acceso al AP

Confirme el nombre en COMMENT para su regla.

ATENÇION: Vea el AP que UD desea acceder para un externo AP Mikrotik, UD deberá escoger un puerto Principal TELNET (23). Si Fuera

un AP radio, escoja a puerto Principal HTTP (80) u otra escogida en radio.

deberá crear una segunda regla

Repitiendo el mismo procedimiento de arriba, pero esta vez, alterando apenas o protocolo para 17 (UDP).

Grave todo y realice una tercera regla.

En esta Regla Definirá dirección IP para su AP. Verifique con su operadora que direccion IP tiene y cual estan sobrando.

Realizar una regla como dice abajo

• CHAIN = DSTNAT

• DST. ADDRESS = Dirección IP libre, a cual será atribuido a su rádio o AP MIKROTIK.

• PROTOCOL = 6 (TCP)

Page 25: Hacer NAT

• DST. PORT = Puerta de acesso al AP o rádio. Si Decea Acceder otro AP pelo WINBOX, seleccione un puerto 8291 (Puerto que ocupa

WINBOX), si desea acceder a un radio al puerto, podrá ser el 80 u otra PRE definida del radio.

Seleccione “ACTION”

Configurar de la Siguiente manera:

• ACTION = DST-NAT

• TO ADDRESS = Dirección IP de su radio o AP (Dirección IP da red interna)

• TO PORT = Puerta principal para o WINBOX (AP MIKROTIK) o puerta principal para radios, porta 80 (u otra Definida).

Luego..Para tener acceso a AP MIKROTIK, vaya a WINBOX, digite o IP válida definido Arriba contraseña o login. Para tener acceso a

radios, abra Internet Explorer, digite la dirección IP válido definido arriba, una ventana contraseña. Digítelo y podrá ingresar

No olvidar de Acceder los IP's válidos que serán usados Para los radios un ADDRESS LIST. Como?

Acceda a menú IP, ADDRESS LIST

Cree una nueva lista de direcciones (botón “+”)

De acuerdo con su link, coloque o nuevo IP válido, o Ip de "NETWORK o IP do BROADCAST. Defina también a interfase (en Este caso, la

interfase de salida da Internet)

Controle P2P (Muy bueno)

Aprenderá a controlar (shape) o tráfico P2P, marcando paquetes, fácilmente. Basta apenas 4 reglas, 2 en firewall ,y 2 en queue.

Diríjase a Menú IP, FIREWALL

Escoja continuación, MANGLE

Crear una nueva regla (botón “+”)

el campo "CHAIN", escoja "PREROUTING".el campo "P2P", escoja "all-p2p".

Page 26: Hacer NAT

A continuación “ACTION”

En campo "ACTION", escoja "MARK CONNECTION". en campo "NEW CONNECTION MARK", de un nombre a su nuevamarcación de

paquetes (por ejemplo, dar un nombre de "p2p_conn". Seleccione la opción "PASSTHROUGH" ligada. Confirme.

Crear una nueva regla (botón “+”)

En campo "CHAIN", escoja "PREROUTING". en campo "CONNECTION MARK" escoja la opción con el nombre de arriba ( En nuestro caso

fue "p2p_conn".

A continuación “ACTION”

En campo "ACTION", escoja "MARK PACKET", en campo "NEW PACKET MARK", defina otro nombre (en nuestro caso, figura como

"p2p". )

Confirme.

Antes de Crear estas dos reglas en firewall, será necesario crear 2 reglas mas en queue. Para Realizar:

Abra o menú, QUEUE

A Continuación "QUEUE TREE"

Cree una nueva regla (botón “+”)

Defina de acuerdo a la figura.

• NAME = Defina un nombre para la regla

• PARENT = Escoja "GLOBAL-IN"

• PACKET MARK = Escoja la opción de nombre escogida arriba Aparecerá aquí el nombre definido en regla de firewall

• QUEUE TYPE = DEFALT

• PRIORITY = 8

• MAX LIMIT = Define o limite máximo de banda reservado para o P2P. En este Caso en un Total de de 200k para p2p

Confirme...

Page 27: Hacer NAT

Crear una nueva regla (botón “+”)

Defina de acuerdo a figura.

• NAME = Defina un nombre para a regla

• PARENT = Escoja "GLOBAL-OUT"

• PACKET MARK = Escoja la opción de nombre escogido arriba. Aparecerá aquí el nombre definido en regla de firewall

• QUEUE TYPE = DEFALT

• PRIORITY = 8

• MAX LIMIT = Define o limite máximo de banda reservado para o P2P. En Este caso es un total de de 200k para p2p

Confirme...

Luego !!! Calma Ahora al trafico P2P, será limitado por marcación de paquetes. Esta regla es muy eficiente!!

BACKUP e restauración

Abra el menú, FILES

Para crear una copia de backup, seleccione en "BACKUP"

En "FILE NAME", aparecerá un nuevo BACKUP. Esta copia estará almacenada en HD de MIKROTIK. Para copiar este backup en otro

computador, clique en "copy" (como en la figura) y pege en cualquier parte en windows.

Para restaurar su backup, escoja una copia seleccionada en "FILE NAME" y clique en "RESTORE", como abajo

También podrá restaurar una copia de backup, que encontrándose en su windows, por ejemplo. Para realizarlo en su sistema

operativo, seleccione un archivo de backup y con botón derecho del Mouse, escoja "COPIAR" (COPY). En La Ventana de backup de

MIKROTIK y clique en "paste" (como en la figura).

Seleccione esta nueva copia do backup (aparecerá una lista) y seleccione en "RESTORE"

Page 28: Hacer NAT

Para realizar a restauración do backup, reinicie en su MIKROTIK.

PD: Estamos tratando apenas de backup realizados por via "winbox", será remontamiento al propio servicio.

Limitar conexiones por cliente

Simplísimo!!

Seleccionar en menú IP, FIREWALL

Y ahora en "FILTER RULES", crear una nueva regla (botón "+" ) .

Configure de siguiente forma:

• CHAIN = FORWARD

• SRC. ADDRESS = DIRECCION del CLIENTE A CUAL APLICARÁ el LIMITE.

• PROTOCOL = 6 (TCP)

Sigamos en "ADVANCED"

En "TCP FLAGS", escoja la opción "SYN" (este comando es responsable por el recibimiento del requisito de conexión del cliente y

también aparecerá un aviso de que a puerto no esta disponible

Ahora en "EXTRA"

En "CONNECTION LIMIT" / "LIMIT", defina o número de conexiones máximas para este cliente.

En campo "NETMASK", defina la máscara 32 (32 significa que la regla será aplicada apenas a este IP)

Ahora abra pestaña "ACTION"

[Imagem:cliente4.png|500px]]

En "ACTION", escoja a opción "DROP".

Básicamente esta regla libera conexiones Simultáneas par un cliente, bloqueando requisiciones de conexiones siguientes al limite.

Configure de acuerdo con sus necesidades

PD: Caso se puede aplicar una regla para un rango de IPs completo, configure en IP XXX.XXX.XXX.0 y en NETMASK para 24.

Page 29: Hacer NAT

Servidor PPPoE y Servidor de Clientes

Abra el menú PPP

Seleccione en "PROFILES"

Crear una nueva profile (botón "+" )

Configure este nuevo profile de acuerdo con sus necesidades. Básicamente configúrelo así:

• NAME = Nombre de profile.

• USE COMPRESSION = NO

• USE VJ COMPRESSION = NO

• USE ENCRYPTION = NO

• CHANGE TCP MSS = YES

En otros campos deje en blanco, conforme a figura de arriba.

Confirme a continuación "INTERFACES" (en LA MISMA VENTANA PPP ) y SELECIONE EL Boton "PPPoE SERVER".

En Ventana "PPPoE SERVER LIST", seleccione un nuevo servidor (botón "+" )

Configure de acuerdo con sus necesidades. Básicamente como abajo:

Parámetros:

• SERVICE NAME = Nombre del servidor PPPoE.

• INTERFACE = Interfase con que este servidor que ira a trabajar.

• MAX MTU = Tasa máxima de transmisión. Básicamente deje en 1500 para clientes con winxp por encima de 1452 para clientes con

win98 para abajo en clientes que utilizan discador RASPPPOE.

• MAX MRU = Tasa máxima de recepción. Configurar conforme arriba.

• KEEPALIVE TIMEOUT = Tiempo máximo que una conexión retornará un error. Basicamente deje en 10.

Page 30: Hacer NAT

• DEFAULT PROFILE = Lembra do profile que creara? todas estas configuraciones quedaran incorporados a el. Básicamente el perfil es

un método de todas estas configuraciones

• ONE SESSION PER HOST = Esta opçion permite que login e contraseña de un cliente (registrado en el servidor pppoe), conecte por

vez. Esto es interesante, pues evita que várias personas conecten al mismo tiempo con apenas un login o contraseña. Deje marcado.

• MAX SESSION = Define o número máximo de conexiones a este servidor. Básicamente deje en blanco.

• AUTENTICATION = Para haber compatibilidades con todos los servicios de discajem disponibles, deje todas marcadas.

Podrá Crear servidores PPPoE. Cada uno atendido una determinada interface e un determinado sistema operacional, como por

ejemplo abajo:

Para catastrar clientes es fácil. Para crear un servidor PPPoE, basta clicear "SECRETS"

Para crear una nueva regla seleccione el botón "+"

Configure de acuerdo con sus necesidades:

• NAME = Login del cliente Puede contener @xxxxxxx.com.br o no.

• PASSWORD =pass Word de acceso.

• SERVICE = Escoja PPPoe.

• CALLER ID = Define cual dirección MAC fijara amarrado esta conexión

• PROFILE = Define una profile que será amarrado esta conexión

• LOCAL ADRESS = Dirección del Gateway (normalmente a fija de IP utilizada con final 254)

• REMOTE ADRESS = Direccion de esta maquina (preferencialmente dentro del rango de IP do LOCAL ADRESS).

• ROUTERS = Define Ruteo. Dejar en blanco.

• LIMITY BYTES IN = Limita o número de bytes de entrada. Dejaren blanco.

• LIMITY BYTES OUT = Limita o número de bytes de salida.

Confirme todo luego. En computador del cliente basta seleccionar en conexión PPPoE con esta contraseña o login, mandar conectar.

Amarrar faixa de IP no DHCP

Page 31: Hacer NAT

Uno de los recursos mas interesantes en redes es el DHCP, atodavia me pregunto como los administradores consiguen trabajar sin el,

pues hace el trabajo de configurar de interface de redes, sea Linux, Windows u otra cualquier, con un DHCP pude alterar las

configuraciones de gateway, DNS, rango de IP de clientes y máscara todo sin precisar ir a la casa de el cliente, Podra altera en

Mikrotik y puede reparar las redes sin reiniciar su computador y esta todo resuelto.

Resolví dar mi contribución en este Wiki sobre este asunto que tanto gusto y convivo todos los dias.

Comience Clickeando en opción IP

-> POOL

Clicke en boton "+" y adicione un pool1 Em address: podrá coloca un rango de redes que dese atribuir a los clientes. Ex: 192.168.2.5-

192.168.2.199 está bien claro ahora Clicke en OK

Después Clicke en IP -> DHCP Server: Clicke en botón "+" y e adicione un SERVER:

En Mismo menú, clicke "Networks" :

Clicke a Leases: y nela que vc va amarrar los IPs en DHCP

Pronto su DHCP Server está atibado.

Marivaldo.

Configurando o HOTSPOT

Para configurar un Hotspot utilizando o Winbox, es necesario que las interfaces esten configuradas en online. Vaya al menú IP ->

Hotspot:

En seguida, clicke en Setup. la imagen a seguir muestran las principales configuraciones:

en imagen 1, Seleccione en cual interfase están los clientes del Hotspot. En imagen 2, Podrá ingresar la dirección, podrá dar la

interface o atribuir otra para un Hotspot. EN imagen 3, escoja un rango e IPs que los cliente usario , y por último, defina un DNS válido

para esta red.

Al final de estos pasos, Tendrá que Crear un primer usuario para acceder un Hotspot. El Propio asistente sugiere un Usuario Admin,

Page 32: Hacer NAT

digite una Contraseña para esto, el asistente concluirá a configuración

Ahora podrá testear, dentro da red local, basta con intentar acceder cualquier dirección, externo, digite un usuario y pas Word.

Configuraciones dos tarjetas Wireless

Entendiendo cada función del menu de WINBOX ***En CONSTRUccion**

- El primer Menú del lado izquierdo chama-se " Interfaces ", en el que se consigue configurar dos dispositivos físicos conectados al

mikrotik, tais como placas de rede, placas wireless etc ..; en este menú también que se cadastra a interfaces virtual como PPoe

server, bridge, virtualap e etc ... basta apenas clicar en Sinal de "+" y adicionar una interfase deseada.

- Responde también por comando " interfase " en Terminal de mikrotik.

-El segundo menu, - Wireless - É nele que se puede habilitar y deshabilitar las interfaces wireless ( Como tarjetas PCMCIA - Minicar-PCI

Wireless ( Basta apenas clicar en Sinal de "+" y adicionar a interfase deseaada. )

Instalación de MIKROTIK (Link Dedicado)

==Instalación de MIKROTIK (ADSL

Configurando Servidor de Hora Automático

Aprenderá a configurar servidores NTP (network time protocol) automáticamente en mikrotik, vía servidor de Internet... Muy útil para

quien trabaja con reglas basadas en horario y ahora no tendrá la hora herrada, adelantada o atrasada

Primer procedimiento, abra el menú "NTP CLIENT"

Configure como abajo:

• MODE - Escoja a opçion "UNICAST"

• PRIMARY NTP SERVER = 159.148.60.2

Page 33: Hacer NAT

• SECONDARY NTP SERVER = 159.148.60.2

Luego configurar, apriete en Boton "ENABLE"

Abra el menú "CLOCK"

Configure en campo "Time Zone" de acuerdo al horario de su Ciudad

Deberá configurar el horario mundial (Greenwich). Aquí en Rio de Janeiro, hay-2:00 de diferencia.

Ahora no precisa mas, solo preocúpese que la hora se verdadera en su sistema!!!

Lista de SCRIPTS e recomendaciones utiles

Lista de Scripts

TODOS LOS SCRIPTS DEVEN SER Ingresados VIA WINBOX EN MENU SYSTEM>SCRIPTS OU VIA "NEW TERMINAL" /system script

SCRIPT PARA REBOOTAR AUTOMATICAMENTE

• add name="reboot" source="/system reboot" \

• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword

SCRIPT PARA PARA WEB-CACHE

• add name="Parar_Proxy" source="/ip web-proxy set enabled=no" \

• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword

SCRIPT PARA LIMPAR WEB-CACHE

• add name="Limpar_Proxy" source="/ip web-proxy clear-cache" \

• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword

SCRIPT PARA RENICIALIZAR WEB-CACHE

• add name="Criar_Proxy" source="/ip web-proxy set enabled=yes" \

Page 34: Hacer NAT

• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword

SCRIPT PARA BACKUP AUTOMÁTICO De MIKROTIK

• add name="backup_diario" source="/sy ba sav name=mk_bkp.backup" \

• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword

SCRIPTS PARA HABILITAR y DESABILITAR TODA la BANDA

DESABILITA

• add name="queue_disable" source="/queue simple { disable \[find \

• name=LIBERA_Todo] }" \

• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword

HABILITA

• add name="queue_enable" source="/queue simple { enable \[find \

• name=LIBERA_TUDO\] }" \

• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword

Consejos Utiles

Deven ser aplicados via winbox (menus system>scheduler) en via "new terminal" en / system scheduler

Consejo para REBOOT DE 15 EM 15 DIAS

• add name="reboot" on-event=reboot start-date=nov/15/2006 start-time=06:05:00 \

• interval=4w2d comment="REBOOT DE 15 EM 15 DIAS" disabled=no

Consejo para MANTENCION AUTOMÁTICA De WEB-PROXY (5 en 5 DIAS

• add name="Parar_Proxy" on-event=Parar_Proxy start-date=nov/15/2006 \

• start-time=05:00:00 interval=5d comment="" disabled=no

• add name="Limpar_Proxy" on-event=Limpar_Proxy start-date=nov/15/2006 \

Page 35: Hacer NAT

• start-time=05:03:00 interval=5d comment="" disabled=no

• add name="Criar_Proxy" on-event=Criar_Proxy start-date=nov/15/2006 \

• start-time=05:10:00 interval=5d comment="MANUTEN O AUTOM TICA DO \

• WEB-PROXY" disabled=no

Consejo para BACKUP AUTOMÁTICO DE 6 EM 6 HORAS

• add name="backup diario" on-event=backup_diario start-date=jan/16/2007 \

• start-time=00:00:00 interval=6h comment="CRIA BACKUP DE 6 EM 6 HORAS" \

• disabled=no

Configurando Liberación Automática de Banda por hora determinada

LOADBALANCE - Vision General y Aplicacion

Balanceamento de carga

Todo o hardware tiene sau limite, e muchas veces un mismo servicio tiene que ser repartido para varias maquinas, so pena de tener

congestionamiento. Estas soluciones pueden ser especializadas en pequeños grupos sobre los cuales se hace un balanceamiento de

carga: utilizando la CPU, de almacenamiento, de redes. Cualquiera de las intrusiones o conceptos de clustering, en su server realíce

ahora el balanceamiento será, probablemente, efectivo para varios servidores.

Balanceamiento de almacenamiento (storage)

O balanceamento do suporte de armazenamento permite distribuir o acesso a sistemas de ficheiros por vários discos

(software/hardware RAID), pelo que derivam ganhos óbvios em tempos acesso. Estas soluções podem ser dedicadas ou existir em

cada um dos servidores do cluster.

• Soluções

• RAID

• Storage Area Network

Figura 1 - Balanceamiento de carga (NAT).

Page 36: Hacer NAT

Figura 2 - Balanceamiento de carga (Direct Routing).

Balanceaminto de rede

El balanceamiento para utilizarlo en redes paso sobre todo por realizar trafico en caminos alternativos para descongestionar los

accesos a los servidores. Este balanceamiento puede realizarse en cualquier nivel de comando OSI.

La Figura 1 sugiere la existencia de un mecanismo/dispositivo responsable para el pelo balanceamiento (director). La Verdad de la

existencia sobre varias formas, dependiendo(s) serviçio(s) que se pretende balancear. Este director sirve también de interfase entre o

cluster de servidores y dos clientes do(s) servicio(s) – todos los clientes que se conecten en la direccion semi-público de este servidor.

Esta Regla (clásica) Limita en tiempos de escalabilidad, números de tramas que el director consigue redirecionar, principalmente

debido a la velocidad de dos controladores de placas de redes. Existen, no en tanto, otras soluciones mas complexas que realizan

mejor partido de las características do protocolo TCP/IP en conjunto con ruteo especializado (NAT, IP Tunneling, Direct Routing).

Ejemplo:Un ejemplo de un metodo a utilizar técnicas de balanceamiento de carga de la própria Wikimedia Fundacion de sus

proyectos. En Junio de 2004, la carga era balanceada usando una combinación de:

Round robin DNS, que distribuye los pedidos uniformemente para uno, dos y tres servidores de cache Squid;

Estos servidores de cache usan los tiempos de respuesta para distribuir los pedidos para cada uno de los siete servidores de páginas.

En medio, los servidores Squid ya tienen en cache páginas suficientes para satisfacer 75% dos pedidos en secuencia consultan los

servidores de páginas; los scripts PHP que forman la aplicación distribuyen la carga para varioss servidores de base de dados

dependiendo del tipo do pedido, como las actualizaciones para un servidor primario en consultas para uno o mas servidores

secundarios.

Soluciones (software) Existen soluciones que operan exclusivamente en apenas algunas niveles do Modelo OSI:

• Nivel 4: Linux Virtual Server

• Nivel 5/6/7: Zeus Load Balancer

Balanceamiento de CPU

Este tipo de balanceamiento es efectuado en los sistemas de procesamiento distribuídos, consiste, básicamente, en dividir la carga

total de procesamiento para vários procesadores del sistema

Page 37: Hacer NAT

6.2 La Tecnología NAT

Introducción. El uso de Internet crece exponencialmente y se ha convertido en un requisito indispensable para los hogares y las microempresas. Network Address Translation, NAT es un método de conexión múltiple a la Internet (o a cualquier otra red IP) de computadoras que usan una dirección IP (Internet Protocol). Esto permite que los usuarios se conecten a Internet de una manera económica y eficaz. El uso creciente de NAT se debe a ciertos factores: 1) escasez mundial de direcciones IP, 2) necesidad de seguridad 3) facilidad y flexibilidad de la administración de la red.

1) Direcciones IP. En una red IP, cada computadora se localiza mediante una única dirección IP. En la versión actual de protocolo IP, las

direcciones se escriben normalmente de la forma  en donde  describen un byte respectivamente por lo que una dirección IP ocupa 4 bytes. Por ejemplo 16843003 (hex 1010101) es escrita como 1.1.1.1 así, cada byte de esta dirección tiene el valor de 1.

Puesto que una dirección es de 4 bytes, el número total de posibles direcciones es . Esto representa el número total teórico de computadoras que pueden estar directamente conectadas a Internet. En la práctica, el límite real es mucho menor por varias razones, cada red física tiene que tener un número único de red ocupando cada uno de los bits de la dirección IP, el resto de los bits se utilizan como el número de ordenador, únicamente para identificar a cada computadora en la red. La cantidad de números de red que pueden ser asignados es, por lo tanto, mucho menor que 4 mil millones y es increíble que todos estos números estén ya asignados.

Una dirección de divide en dos partes: el número de red y el número de computadora, la idea es que todos los ordenadores en la red física tengan en mismo número de red. El tamaño de la red y las partes de la computadora depende de la clase de dirección y es determinada por la dirección máscara de red. La máscara de red es una máscara binaria con unos en la parte de la red y ceros en la parte del ordenador.

Para permitir un rango de redes grandes con muchas computadoras, o redes pequeñas con pocos ordenadores, el espacio de la dirección IP se divide  en cinco clases de direcciones, llamadas clase A, B, C, D y E, respectivamente. El primer byte de la dirección de red determina la clase de  dirección a la que pertenece. Si el primer byte de la dirección de red está entre 1 y 126 pertenece a la clase A, las cuales pueden tener cerca de 17 millones de computadoras cada una. La clase B es para direcciones de red cuyo primer byte está entre 128 y 191 y pueden tener cerca de 65,000 ordenadores cada una. Las direcciones de red con el primer byte entre 192 y 223 son de clase C y pueden tener 256 ordenadores. El resto de las redes son clase D que se usan para funciones especiales o clase E las cuales están reservadas.

La mayoría de las direcciones de las clases A y B ya fueron asignadas quedando disponible únicamente de la clase C. Esto significa que el número de direcciones disponibles en Internet es menor que 2,147,483,774. A cada región principal del mundo se le otorga una cierta cantidad de estas direcciones y es la responsable de asignarlas a los Proveedores de Servicios de Internet y a otros muchos consumidores. Debido al requerimiento de encaminamiento, una red determinada de clase C (256 direcciones) tiene que asignarse a un usuario a la vez; el usuario (por ejemplo un proveedor) es el responsable de distribuir estas direcciones a sus clientes.

Page 38: Hacer NAT

Mientras que el número de direcciones disponibles se ve muy grande, Internet  crece a  grandes pasos y pronto estas direcciones se agotarán si tenemos en cuenta que en un futuro cercano, multitud de dispositivos como teléfonos móviles UMTS o electrodomésticos estarán conectados a Internet de forma permanente (con dirección IP fija), el uso de NAT será insuficiente para satisfacer tal demanda de conectividad hasta que la próxima generación del protocolo IP, versión 6 (IPV6), permita más direcciones. Pero, tomará años antes que la infraestructura existente de red se transfiera al nuevo protocolo.

Dado que las direcciones IP es un recurso escaso, la mayoría de los proveedores de Internet asignan una sola dirección a cada usuario. En la mayoría de los casos, esta dirección se concede dinámicamente. Así, cada vez que un usuario se conecte al proveedor, le será asignada una dirección diferente. Las grandes compañías pueden adquirir más direcciones, pero no las microempresas y los usuarios particulares ya que su coste lo hace imposible. Ya que a los usuarios se les otorga una sola dirección IP, éstos pueden tener, a la vez, una sola computadora conectada a Internet. Con una entrada NAT corriendo en esta única computadora, es posible compartir la dirección única con múltiples computadoras locales, conectándolas todas al mismo tiempo. La gente del exterior no se da cuenta de esta división, y cree que es una sola computadora la que está conectada.

2) Consideraciones de seguridad. Mucha gente concibe a Internet como un camino de un solo sentido, se olvidan de que mientras su computadora está conectada, Internet también está conectada a la computadora. Esto significa que cualquier gente con acceso a la Red, puede potencialmente tener acceso a recursos en las computadoras (tales como archivos, correos electrónicos, red de la compañía, etc.). La mayoría de los sistemas operativos de la computadora personal no están diseñados con seguridad, dejándolos al descubierto de ataques a la Red para realizar cosas indeseables. Muchas nuevas tecnologías tales como Java y Active X han reducido actualmente la seguridad ya que es posible para un Java applet o un control Active X tomar el control de la computadora cuando ésta está funcionando. Muchas veces no es posible detectar que estos applet están corriendo. Únicamente se requiere ir al sitio Web y el buscador automáticamente lo cargará y hará correr a cualquier applet especificado dentro de la página.

Las implicaciones de seguridad en esto son muy serias. Para usuarios particulares significa que la información personal sensible, tales como correos electrónicos, correspondencia o detalles financieros pueden ser robados. Para usuarios comerciales las consecuencias pueden ser desastrosas; si la información confidencial de la compañía tales como planes del producto o estrategias de comercialización son extraídos, conduciría a pérdidas financieras importantes o aún peor, causar la quiebra de la empresa.

Para combatir el problema de seguridad, existe un producto llamado cortafuego que se coloca entre el usuario y la Internet y verifica todo el tráfico antes de permitir que éste pase. Esta herramienta, por ejemplo, no permite tener acceso a la documentación de la compañía o al servidor de correo electrónico a un usuario no autorizado. El problema del uso de los cortafuegos es que son más costosos, difíciles de instalar y de mantener, poniéndolos fuera del alcance de microempresas y de usuarios particulares.

La tecnología NAT proporciona automáticamente, la protección estilo cortafuego sin ninguna disposición especial. Esto es porque permite solamente las conexiones que se originan en la red interior. Esto quiere decir, por ejemplo, que un usuario interno puede conectarse en un servidor de salida FTP (File Transfer Protocol) pero, un usuario externo no podrá conectarse con el servidor FTP interno porque tendría que empezar la conexión y NAT no lo permitirá. Es aún posible hacer que algunos servidores internos disponibles aparezcan a la luz pública vía

Page 39: Hacer NAT

verificación de entrada, ya que ciertos registros conocen bien los puertos TCP (por ejemplo 21 para FTP) de direcciones internas específicas, esto hace que servicios disponibles tales como FTP o Web estén de cierta manera controlados.

Muchos paquetes TCP/IP (Transmission Control Protocol/Internet Protocol) son susceptibles a los ataques con protocolos de bajos nivel tales como "SYN flood" o "Ping of Death". Estos ataques no comprometen la seguridad de la computadora sino que pueden hacer que los servidores truenen, dando como resultado "negaciones de servicio" altamente perjudiciales, tales ataques pueden causar estragos en la red y pueden utilizarse como cloaca en futuras rupturas de seguridad. NAT, que no utiliza el paquete del protocolo de la máquina sino que lo suple por el suyo, ofrece la protección de estos ataques. Ver Figura 1.

Figura 1: NAT

3) Consideraciones administrativas. Las redes IP son más difíciles de instalar que las computadoras de red en área local (LAN), cada computadora requiere una dirección IP, una máscara de subred, la dirección del DNS, el nombre de dominio y un router por defecto. Esta información tiene que instalarse en toda computadora de la red, Si una parte de la información es incorrecta, la conexión de la red no funcionará y generalmente no existe indicación de cuál es el incorrecto. En redes más grandes, la tarea de coordinar la distribución de direcciones y de dividir la red en subredes, es tan complicada que requiere de un experto en redes. NAT ayuda en la administración de la red de varias maneras:

Divide una gran red en varias más pequeñas. La parte más pequeña es la que únicamente expone la dirección IP al exterior, lo que significa que puede adicionarse o quitarse algunas computadoras o sus direcciones pueden ser cambiadas sin afectar las redes externas. Con una verificación de entrada, es incluso posible mover servicios (tal como servidores de Web) a una computadora diferente sin tener que realizar un cambio en usuarios externos. Ver figura 2.

Page 40: Hacer NAT

Figura 2

Algunas entradas NAT modernas, contienen un servidor DHCP (Dynamic Host Configuration Protocol) el cual permite que las computadoras del usuario se configuren automáticamente. Cuando la computadora se enciende, ésta busca en el servidor DHCP y obtiene la información TCP/IP requerida. Los cambios de la configuración de la red se realizan centralmente en el servidor y afecta a todos los usuarios; el administrador no necesita aplicar el cambio a cada computadora en la red. Por ejemplo, si la dirección del servidor DNS cambia, todos los usuarios la próxima vez que accedan al servidor DHCP, automáticamente empezarán a utilizar la nueva dirección.

Muchas entradas NAT proporcionan una manera de restringir el acceso a Internet. Esto permite a los administradores controlar el acceso de material dudoso.

Otra característica útil es el tráfico de registros (logging): puesto que todo el tráfico desde y a Internet tiene que pasar a través de una entrada NAT, NAT puede grabar todo el trafico de un documento log. Este documento puede usarse para generar varios informes del tráfico, tales como interrupciones de tráfico por el usuario, por el sitio, por la conexión de red, etc.

Dado que las entradas NAT operan mediante paquete de nivel IP, la mayoría de ellos tiene capacidad incorporada de encaminamiento en la red interna de trabajo. Las redes internas de trabajo puede dividirse en redes secundarias separadas (con diversas espinas dorsales o compartiendo una misma espina dorsal) que simplifica más la administración de la red y permite que más computadoras se conecten a la red. Ver figura 3.

Figura 3

Page 41: Hacer NAT

Una desventaja, de NAT  es que añade complejidad de mantenimiento y uso de recursos de computación en los routers. Los routers que realizan NAT tienen que reasignar las direcciones IP de cada uno de los paquetes entrantes o salientes a la red, lo cual es una sobrecarga grande de CPU respecto a su misión original, que es simplemente encaminar los paquetes.

NAT y proxies. La palabra proxy se utiliza para indicar cualquier mecanismo que actúa a favor de alguien. Este término se usa frecuentemente, para indicar que una Web está protegida. Un proxy de Web actúa como un servidor de Web "intermedio": cuando los usuarios de la red de trabajo realizan solicitudes al proxy, éste a su vez, realiza solicitudes al servidor de Web indicado. La tecnología del proxy, es vista como una manera alternativa de proporcionar el acceso compartido a una conexión única a Internet. Los principales beneficios de una red protegida son:

Registro local oculto. Un proxy puede almacenar páginas de acceso en el disco duro local; cuando estas páginas son requeridas, proxy hace uso de sus archivos locales en lugar de descargar los datos de un servidor lejano. Los proxies que realizan depósitos son llamados comúnmente servidores de registro proxy.

Conserva el ancho de banda de la red. Si más de un usuario solicita una misma página, proxy realiza una sola petición a un servidor lejano y distribuye el dato recibido a todos los usuarios que la están solicitando.

Los beneficios anteriores sólo llegan a ser visibles en donde una multitud de usuarios acceden a los mismos sitios y comparte los mismos datos.

Diferente a NAT, una Web con proxy no es una operación transparente, ésta debe ser apoyada explícitamente por el usuario. Debido a la pronta aceptación de las Web con proxy, la mayoría de los buscadores, incluyendo Internet Explorer, Netscape Communicator, tienen incorporada ayuda mediante proxies, pero la configuración debe hacerse regularmente en cada máquina y puede ser cambiada por un usuario ingenuo o malicioso.

Una red protegida tiene las siguientes desventajas:

El contenido en la red es cada vez más dinámico debido al desarrollo de videos y audio los cuales se utilizan intensamente. La mayoría de los nuevos formatos no son registrados por el proxy, eliminando una de las ventajas principales del servicio de registro proxy.

Los clientes tienen que ser agrupados explícitamente para utilizar una Web protegida; siempre que exista un cambio (por ejemplo, cuando se cambia el proxy a una nueva dirección IP), todos y cada uno de los usuarios tienen que ser reinstalados.

Un servidor proxy actúa sobre el nivel TCP y utiliza el paquete del protocolo incorporado a la máquina. Para cada solicitud de Web de un usuario, se tiene que establecer una conexión TCP entre la máquina proxy y el servidor lejano de Web. Esto causa mucha tensión en la máquina del servidor de proxy, ya que cada vez las páginas son más complicadas y el proxy, por si mismo, puede llegar a formar un cuello de botella. Esto contrasta con NAT que opera mediante un paquete nivel y requiere mucho menor proceso para cada conexión.

Page 42: Hacer NAT

Operación de NAT. El propósito básico de NAT es multiplexar (técnica que permite transmitir comunicaciones a través de un único canal) el tráfico desde la red interna de trabajo y presentarlo a Internet como si viniera de una única computadora con una sola dirección IP. Los protocolos TCP/IP incluyen una facilidad de multiplexado de modo que cualquier computadora pueda mantener conexiones simultáneas múltiples con una computadora lejana. Es esta facilidad de multiplexación  la llave para una dirección única NAT. Para multiplexar varias conexiones a un único destino, se empaquetan todas las etiquetas de las computadoras del usuario con un único "número de puerto". Cada paquete IP inicia con un encabezado que contiene la fuente, direcciones de destino y números de puerto. Es decir, contiene la dirección de la  fuente, el puerto fuente, la dirección de destino y el puerto de destino. Esta combinación de números define totalmente una sola conexión TCP/IP. Las direcciones específicas de dos máquinas, una en cada extremo y dos números de puerto, aseguran que cada conexión entre este par de máquinas sea identificada como única.

Cada conexión se origina por separado desde el número de puerto fuente del usuario, y todos los paquetes de la contestación desde el servidor lejano, contienen el mismo número de puerto de destino, de manera que el usuario pueda regresarlos de nuevo a la dirección correcta. En este sentido, por ejemplo, es posible para un buscador de Web preguntar al servidor de Web por varias imágenes y a la vez saber como juntar las partes de las respuestas y regresarlas todas juntas.

Una salida NAT moderna, puede cambiar la dirección de la fuente de cada paquete saliente para que sea una sola dirección pública. Por lo tanto, renumera los puertos fuente para que sean únicos, de modo que no pueda perderse de vista cada conexión del usuario. La entrada NAT utiliza una tabla portuaria de confirmación para recordar cómo numeró los puertos de cada paquete saliente del usuario. La tabla de confirmación de puerto expone, la dirección IP local real del usuario y del puerto fuente así como el número de puerto fuente de traslado. La entrada NAT puede por lo tanto, invertir el proceso para regresar paquetes y encaminarlos de nuevo a los clientes correctos.

Cuando cualquier servidor lejano responde a un usuario con NAT, los paquetes entrantes tendrán la misma dirección de destino pero, el número de puerto de destino será el número único del puerto fuente que fue asignado por NAT. La Tabla NAT coteja en su tabla de confirmación de puerto, para poder determinar la dirección real del usuario y el número de puerto al que el paquete fue destinado y remplaza estos números antes de pasar el paquete al usuario local. Este proceso es totalmente automático. Cuando un paquete se recibe de un usuario interno, NAT busca en la tabla de confirmación de puertos, la dirección y puerto fuente que hacen pareja. Si la entrada no se encuentra, crea una nueva y le asigna un nuevo puerto de confirmación al cliente.

Cada cliente tiene asociado un tiempo inactivo de salida, que se reajusta cada vez  que el usuario recibe un nuevo tráfico. Cuando el tiempo de salida expira, el cliente es removido desde la tabla. La longitud de este tiempo varía, pero tomando en cuenta variaciones de tráfico en Internet no rebasa  los dos o tres minutos. La mayoría de las implementaciones NAT siempre pueden monitorear usuarios TCP en la base de cada  conexión y, removerlos de la tabla tan pronto como se cierre la conexión. Esto no es posible para tráfico UDP (User Datagram Protocol) ya que no es conexión básica.

Muchos protocolos TCP/IP de más alto nivel muestran la información de la dirección del usuario en el  paquete. Por ejemplo, durante una transferencia "activa" de FTP el cliente informa al servidor de su dirección IP y el número de puerto, luego espera para que el servidor abra una conexión en esta dirección. NAT supervisa estos paquetes y los modifica en el acto para luego reemplazar la dirección IP del usuario (lo

Page 43: Hacer NAT

que está en la red interna de trabajo) con la dirección NAT. Como esto cambia la longitud del paquete, los números de la secuencia conocida, pueden modificarse también. La mayoría de los protocolos pueden ser asistidos por NAT; sin embargo, algunos de ellos pueden requerir que el usuario se entere por si mismo de la existencia de NAT y  participe en el proceso de conversión de la dirección  (o NAT puede ser un protocolo sensible de modo que la dirección  implantada o el dato portuario pueda supervisarse o modificarse).

Como la tabla portuaria de verificación relata la información completa de la conexión fuente, la dirección de destino y los números de puerto, es posible validar parte o toda esta información antes de pasar los paquetes encomendados de regreso al usuario. Esta comprobación ayuda a proporcionar la protección eficaz del cortafuego de ataques lanzados en la Internet contra LAN privado.

Cada paquete IP contiene también, las sumas de comprobación que son calculadas por el emisor. Éstas son recalculadas y comparadas por el receptor para ver si el paquete ha sido alterado en su trayecto. La verificación de las sumas depende del contenido del paquete. Como NAT debe modificar la dirección del paquete y números de puerto, debe también recalcular y remplazar las sumas de la verificación. Un diseño cuidadoso en el software de NAT asegura de que este proceso adicional tenga un efecto mínimo en el rendimiento de entrada. Antes de hacer esto, debemos verificar y desechar cualquier paquete alterado para evitar convertir un paquete malo en bueno.

 PAT. (Port Address Traslation). PAT resuelve conflictos en direcciones IP remplazando direcciones sin registrar en paquetes IP por direcciones registradas. Las direcciones IP registradas son encaminables en Internet (también son referidas como direcciones públicas IP). Las direcciones sin registrar o direcciones privadas IP, son direcciones no encaminables, comúnmente utilizadas hoy en día en la mayoría de redes internas. Es un caso especial de NAT dinámico conocido como enmascarado, que llegó a ser famoso bajo este nombre, debido a la puesta en práctica de Linux. Este es el tipo de técnica NAT que se usa con más frecuencia actualmente. Aquí, muchos números IP se ocultan detrás de otros. En contraste con el NAT dinámico original, esto no significa que pueda haber únicamente una conexión a la vez. En PAT a lo más, un número arbitrario de conexiones son multiplexadas usando el puerto de información TCP. El número de conexiones simultáneas está limitado sólo por el número de puertos TCP disponibles.

PAT se construye funcionalmente en mecanismos tales como routers de red, cortafuegos, routers ISDN y tecnologías NAT independientes. PAT verifica conexiones de salida de direcciones IP no registradas o direcciones privadas IP en la red externa usando puertos diferentes para cada conexión. PAT usa una característica del paquete del protocolo TCP/IP que multiplexa, esto permite que una computadora mantenga varias direcciones concurrentes con una o varias computadoras alejadas que utilizan diferentes puertos TCP o UDP. Un paquete IP tiene una cabecera que contiene la información siguiente:

Dirección fuente. La dirección IP de la computadora original tal como 192.168.18.223. Puerto fuente. número de puerto TCP o UDP asignado por la computadora original, tal como 3021. Dirección de destino. La dirección IP de recepción de la computadora, tal como 201.3.83.132. Puerto de destino. El número de puerto TCP o UDP que la computadora original esta solicitando a la computadora receptora tal como 1080.

La dirección fuente no registrada es reemplazada por una dirección registrada por un router NAT y le asigna un número único de puerto, por ejemplo, 192.168.18.223 es remplazado por 198.139.45.11 y le asigna el número de puerto 63540 para asegurar que la conexión entre las dos

Page 44: Hacer NAT

computadoras tiene un identificador único. La combinación de esos cuatro números define una única conexión TCP/IP o zócalo 198.139.45.11.63540 201.3.83.132.1080.

La computadora fuente podría conectar con la misma máquina de destino asignando un puerto fuente distinto. Esto crearía una única conexión TCP/IP creando un zócalo único 198.139.45.11.63541 201.3.83.132.1080. Por asignación de un número único de puerto para cada conexión de salida, NAT puede crear conexiones múltiples usando una sola conexión IP compartida. Cada número de puerto utiliza 16 bits,

lo que quiere decir que hay 65,536 valores posibles.

Realmente, como diversos tipos de manufacturas de cortafuegos verifican levemente los puertos de diferentes maneras, se puede esperar tener cerca de 4,000 puertos disponibles. Un problema especial de PAT es que algunos servicios de ciertos ordenadores sólo aceptan conexiones que vienen de puertos privilegiados para asegurarse de que no vienen de un usuario no deseado. La mayoría de las implementaciones de PAT usan puertos no privilegiados para evitar interferir con las conexiones "regulares" a esos puertos. PAT habitualmente utiliza puertos en el rango superior, el cual típicamente inicia en el puerto 61,000 y termina en 61,000 + 4096, el cual es asignado por defecto por IANA (Internet Assigned Number Authority) y configurable en la mayoría de los cortafuegos. Esto también muestra que la implementación típica por defecto sólo permite 4096 conexiones concurrentes.

 Para que PAT permita conexiones en puertos de salida de tales rangos, requiere guardar y manejar aún más la información acerca del estado de las conexiones. Linux por ejemplo, trata simplemente todos los paquetes con IP de destino = IP local y  puerto de destino dentro del rango usado para enmascarar.  Es decir, son las respuestas de paquetes que han sido enmascarados en su salida. Las conexiones entrantes son imposibles con PAT tradicional ya que cuando una computadora tiene una entrada en la tabla de máscaras de NAT esta entrada es válida sólo para la conexión que está activa. Inclusive contestaciones ICMP que pertenecen a conexiones (puertos de máquinas inalcanzables) no consiguen pasar automáticamente al remitente pero deben ser filtradas y re-trasmitidas por el software del router NAT.

Si bien es cierto que las conexiones entrantes son imposibles, se puede tomar medidas adicionales para aceptarlas, pero no son parte del código máscara. Podríamos por ejemplo, instalar NAT de modo que re-trasmita todas las conexiones entrantes desde el exterior al puerto Telnet, a una computadora del interior. Sin embargo, como se tiene una sola dirección IP, que es visible en el exterior para permitir las conexiones entrantes, para el mismo servicio, pero para diferentes computadoras internas, se debe poner atención en diferentes puertos dentro de NAT, uno para cada servicio e IP interno. Puesto que la mayoría de las aplicaciones ponen atención en puertos bien conocidos que no pueden ser fácilmente (y ¡transparentemente!) cambiados, esto es absolutamente incómodo y frecuentemente no es opción, especialmente para servicios públicos. La única solución es tener tantos IPs (externos) como el número de servicios que serán proporcionados. Si un IP externo se puede compartir aún por diferentes servicios, y después ser re-verificado para diferenciar el IP interno usando NAT, pero que no es parte de PAT. Para conexiones de entrada, se utiliza una forma muy especial de NAT conocida como RPAT (Reverse Port Address Translation) vista más adelante.

Ejemplo de la regla PAT. La máscara de la red interna 138.201, usando un router NAT, la dirección propia de cada paquete saliente de la fuente IP es remplazado por el router (externo) IP, y el puerto fuente es cambiado por un puerto no utilizado en el rango reservado exclusivamente para máscaras en el router, si el destino IP de un paquete entrante está en el router local IP, y el puerto de destino está dentro

Page 45: Hacer NAT

del rango de máscaras de puertos usados en el router, NAT verifica su tabla de máscaras sí el paquete pertenece a la sesión enmascarada; si éste es el caso, el destino IP y el puerto de la computadora interna, es insertado y el paquete es enviado a la computadora interna.

La mayor ventaja de PAT para mucha gente, es que sólo necesitan una dirección IP oficial para que toda la red interna pueda tener acceso a Internet. Esto es importante porque, como se mencionó anteriormente, las direcciones IP han llegado a ser excesivamente costosas. Tanto que existe un nivel de aplicación de entradas que no necesitan  IPs o cualquier clase de NAT y una IP es más que suficiente. Este principio ha sido aplicado en el desarrollo de RPAT.

 RPAT. (Reverse Port Address Translation). Este router implementa la misma metodología que PAT pero en reversa, es una forma de convertir direcciones de red que ya muchos cortafuegos contemplan. RPAT permite usar una sola computadora conectada a Internet con una dirección "real" IP como una entrada para máquinas que no están conectadas y sin registro de dirección privada IP. La entrada con una dirección pública IP, maneja paquetes verificados desde Internet a direcciones privadas de las computadoras en la red interna o privada. Esto permite conectividad bi-direccional entre computadoras en Internet y computadoras de redes privadas. En lugar de verificar conexiones de salida de direcciones IP privadas múltiples sin registro a una dirección IP única, éste verifica las conexiones múltiples de salida desde la red pública para direcciones privadas o sin registro en la red interna, usando una sola dirección pública IP y un puerto diferente para cada conexión de entrada.

RPAT utiliza el mismo dispositivo que en el paquete del protocolo TCP/IP para multiplexación inversa, que permite a una computadora mantener varias conexiones concurrentes con una computadora o varias computadoras lejanas, utilizando puertos TPC o UDP diferentes. RPAT utiliza un comando pasivo, comúnmente utilizado para conectividad FTP, como el método de establecimiento y notificación de puerto. El comando pasivo es una tecnología estándar de red que representa un comando de conexión restringida. El comando pasivo es utilizado por RPAT  de una manera totalmente única para establecer un método NAT para que direcciones no encaminables de computadoras privadas, puedan ser accesibles por Internet. Una conexión llega a un puerto del canal de comando y es redirigido al puerto del canal de datos. En RPAT, el comando pasivo se utiliza para asignar un puerto a la conexión de entrada y notificar al usuario de Internet de este puerto. En RPAT, de la conexión IP del iniciador A a la conexión del respondedor B, primero realiza la búsqueda del nombre DNS de B; esto marca el inicio de una sesión A, se asume una partición del DNS en donde el nombre de la computadora del respondedor B es localizado en un DNS interno, que no es accesible por Internet. RPAT se despliega como un proxy inverso para que el servidor interno DNS permita el conjunto de reglas para ser aplicado en cualquier petición al DNS interno.

En RPAT, el usuario A inicia una resolución y la conexión de acceso. El uso de programas tales como resolver (discernidor de imágenes) y forward (re-enviar) que son estándares de BIND, ofrece resoluciones a preguntas de direcciones en un sistema distribuido que permite al DNS externo re-enviar esta petición a RPAT pasivo. Resolver incluye una dirección de un DNS que sirve como nombre primario del servidor. Cuando está presentado con la referencia del nombre de dominio (Por ejemplo, http://www.canarias.com), resolver envía una petición al DNS primario (Por ejemplo, DNS_A en la figura 4).

Page 46: Hacer NAT

Figura 4

El DNS primario regresa la dirección IP registrada a este dominio, o bien simplemente implementa el directorio forward a otro DNS que ha registrado la dirección o una dirección IP parcial con una referencia a otra DNS que tiene más información de direcciones IP.

En la figura 4, un DNS interno re-envía la resolución a un DNS externo, que realiza una resolución DNS convencional dirigiéndose al buscador (o aplicaciones del usuario) de un servidor raíz que re-envía la petición a un DNS de segundo nivel, el cual, a su vez re-envía la petición al sistema adueñado por el servidor DNS (es decir DNS_A). El DNS externo, DNS_A, dirige entonces la petición usando el forward directivo a RPAT pasivo observa al DNS interno para la resolución y entonces protege la dirección de destino de la computadora pasiva requerida en resolución.

La operación Lookup (de búsqueda) tiene dos propósitos, primero, el nombre del DNS que identificará únicamente al respondedor, aunque no tenga dirección IP única. Y segundo, cuando el DNS pregunta, es re-dirigido por RPAT pasivo al DNS interno; la computadora privada IP es un límite para las direcciones IP del RPAT pasivo en resolución, asignando un único número de puerto para identificar la conexión ilimitada para responder a B, previamente identificado arriba. Una vez más, este lazo es un iniciador específico para poder limitar la dirección IP del interfaz RPAT a las computadoras IP privadas simultáneamente.

Las direcciones IP de RPAT pasivo son regresadas al usuario en la réplica DNS con el campo del sistema time-to-live (tiempo-de-vida) en cero. (Es decir, está permitido grabar direcciones IP no registradas). RPAT pasivo registra el estado de la información en la resolución, verificando la dirección IP privada de un número de puerto y lo asigna para la conexión. La dirección IP fuente y el puerto identifica al IP iniciador o usuario cuando la aplicación intenta conectar a la computadora privada con dirección (192.168.32.15).

La sesión se ha establecido, y el usuario puede abrir una conexión arbitraria para 192.168.32.15 a través de RPAT pasivo. Una sesión ha finalizado cuando ocurre una ruptura después de un período de inactividad.

Page 47: Hacer NAT

Para utilizar RPAT un cliente elige dos puertos TCP para su propio uso. El primer puerto identifica a un canal de comando y el segundo a un canal de datos. El usuario abre el puerto del canal comando para contactar con el RPAT pasivo, con el propósito de descubrir la dirección y la edición del comando pasivo (PASV). El canal de comando es un puerto anunciado, por ejemplo, al utilizar el DNS para la resolución el canal de comando está en el puerto 53, el DNS por defecto. Cuando se utiliza Grid basado en protocolos, el puerto por defecto es 2135. RPAT pasivo recibe el comando PASV en el puerto del canal comando. El comando PASV hace que RPAT pasivo asigne un segundo puerto, de los propios, para el canal de datos y avisa al usuario el número de ese puerto en la réplica PASV. El rango del puerto puede estar en un rango no privilegiado (es decir, mayor o igual a 1,024); se recomienda firmemente, que el rango escogido sea lo suficientemente grande para manejar muchas conexiones pasivas simultáneas (por ejemplo, de 49,152 a 65,534, el rango efímero de puerto registrado por IANA).

El usuario entonces, abre la conexión de datos desde este segundo puerto, al puerto dinámico asignado por RPAT pasivo e indicado en la réplica PASV (el puerto de los datos que RPAT ha abierto para esta conexión y que es tomado en cuenta encendido).

Conclusión. NAT y sus modalidades PAT y RPAT  ofrecen una manera rápida y eficaz de ampliar el acceso seguro a Internet en redes privadas nuevas y existentes, sin tener que esperar una nueva y mejor estructura de direcciones IP. Estos ofrecen mayor flexibilidad y funcionamiento que el uso alternativo de proxies y se ha convertido en el estándar para el acceso compartido.

Referencias

http://www.jumpernetwork.com

http://webserver.cpg.com/ws/3.4/

http://www.cicei.com/ocon

http://www.rediris.es/rediris/boletin/33/enfoque3.html

http://www.inforsist.net/articulo.php?id=43

http://www.arsys.es/empresa/idc/ipv6.htm

http://www.glosarium.com/term/1053,14,xhtml

http://es.tldp.org/Manuales-LuCAS/GARL2/garl2/x-087-2-issues.html