Función NAT de enmascaramiento (ocultación)

La conversión de direcciones de red (NAT) de enmascaramiento (ocultación) le permite ocultar la dirección real de un sistema personal privado. NAT hace que el tráfico del sistema personal se direccione a su sistema, lo que básicamente convierte al sistema en la pasarela del sistema personal.

La función NAT de enmascaramiento permite convertir varias direcciones IP en una sola dirección IP. Puede utilizar la NAT de enmascaramiento para ocultar una o varias direcciones IP de la red interna detrás de una dirección IP que desee hacer pública. La dirección pública es aquella a la que se convierten las direcciones privadas y debe ser una interfaz definida en el sistema. Para ser una interfaz definida, hay que definir la dirección pública como dirección BORDER.

Ocultar múltiples direcciones

Para ocultar múltiples direcciones, hay que especificar un rango de direcciones que NAT debe convertir por medio del sistema. El proceso general es el siguiente:

  1. La dirección IP convertida sustituye a la dirección IP origen. Esto sucede en la cabecera IP del paquete IP.
  2. El número de puerto origen IP (si lo hay) que figura en una cabecera TCP o UDP es sustituido por un número de puerto temporal.
  3. Una conversación existente es la relación que hay entre la nueva dirección origen IP y el nuevo número de puerto.
  4. La conversación existente permite que el servidor NAT deshaga la conversión de los datagramas IP desde el servidor externo.

Cuando se utiliza la función NAT de enmascaramiento, el tráfico lo inicia un sistema interno. Cuando esto sucede, NAT convierte el paquete IP a medida que pasa por el servidor NAT. La función NAT de enmascaramiento es una magnífica opción porque los hosts externos no pueden iniciar tráfico hacia la red. Como resultado, la red gana en protección contra un ataque del exterior. Asimismo, solo es necesario comprar una única dirección IP pública para varios usuarios internos.

En la lista siguiente se destacan las características de NAT de enmascaramiento:

Nota:

Si los parámetros no se establecen para adaptarlos a su entorno, la conversión de direcciones podría no funcionar como cabría esperar. Por ejemplo, las direcciones IP de los paquetes no se convierten o los paquetes se podrían descartar. No obstante, esto no provocará ningún daño en el hardware o el sistema. Si desea ajustar los valores de los parámetros, tenga en cuenta los siguientes elementos:

  • El valor de MAXCON debe ser lo suficientemente alto como para dar cabida al número de conversaciones que se desea utilizar. Por ejemplo, si se utiliza el protocolo de transferencia de archivos (FTP), el sistema personal tendrá dos conversaciones activas. En este caso, será necesario establecer MAXCON de manera que dé cabida a múltiples conversaciones para cada sistema personal. Habrá que decidir cuántas conversaciones concurrentes interesa permitir en la red. El valor predeterminado es 128.
  • El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo suficientemente alto como para dar tiempo a que finalicen las conversaciones entre los sistemas personales y el servidor. Para que la función NAT de ocultación funcione correctamente, debe haber una conversación interna en curso. El valor de TIMEOUT indica al código cuánto debe esperar a que se produzca una respuesta a esta conversación interna. El valor predeterminado es 16.
  • La NAT de enmascaramiento solo soporta estos protocol: TCP, protocolo de datagramas de usuario (UDP) y protocolo Internet de mensajes de control (ICMP).
  • Siempre que utilice NAT, debe habilitar el reenvío IP. Utilice el mandato Cambiar atributos de TCP/IP (CHGTCPA) para verificar que el valor de reenvío de datagramas IP es YES.
Tema principal: Conversión de direcciones de red (NAT)
Conceptos relacionados
Cabecera de paquete IP
Caso practico: ocultar direcciones IP utilizando NAT de enmascaramiento