La conversión de direcciones de red (NAT)
de enmascaramiento (ocultación) le permite ocultar la dirección real
de un sistema personal privado. NAT hace que el tráfico del sistema
personal se direccione a su sistema, lo que básicamente convierte al
sistema en la pasarela del sistema personal.
La función NAT de enmascaramiento permite convertir varias direcciones IP en una
sola dirección IP. Puede utilizar la NAT de enmascaramiento para ocultar una o varias
direcciones IP de la red interna detrás de una dirección IP que desee hacer
pública. La dirección pública es aquella a la que se convierten las direcciones
privadas y debe ser una interfaz definida en el sistema. Para ser una
interfaz definida, hay que definir la dirección pública como
dirección BORDER.
Ocultar múltiples direcciones
Para
ocultar múltiples direcciones, hay que especificar un rango de direcciones
que NAT debe convertir por medio del sistema. El proceso general
es el siguiente:
- La dirección IP convertida sustituye a la dirección IP origen. Esto
sucede en la cabecera IP del paquete IP.
- El número de puerto origen IP (si lo hay) que figura en una cabecera TCP
o UDP es sustituido por un número de puerto temporal.
- Una conversación existente es la relación que hay entre la
nueva dirección origen IP y el nuevo número de puerto.
- La conversación existente permite que el servidor
NAT deshaga la conversión de los datagramas IP desde el servidor
externo.
Cuando se utiliza la función NAT de enmascaramiento, el tráfico lo inicia un sistema
interno. Cuando esto sucede, NAT convierte el paquete IP a medida que pasa
por el servidor NAT. La función NAT de enmascaramiento es una magnífica opción
porque los hosts externos no pueden iniciar tráfico hacia la
red. Como resultado, la red gana en protección contra un ataque del
exterior. Asimismo, solo es necesario comprar una única dirección IP pública
para varios usuarios internos.
En la lista siguiente se destacan las características de NAT de
enmascaramiento:
- La dirección IP privada o el rango de direcciones IP están enlazados detrás de
una dirección IP pública en la estación de trabajo NAT.
- La NAT de enmascaramiento solo la puede iniciar la red interna.
- Los números de puerto se asocian a números de puerto aleatorios. Esto
significa que tanto la dirección como el número de puerto están ocultos a la
vista de Internet.
- La dirección registrada que consta en la estación de trabajo NAT se puede
usar como interfaz externa de NAT.
Nota: Si los parámetros no se establecen para adaptarlos a
su entorno, la conversión de direcciones podría no funcionar como
cabría esperar. Por ejemplo, las direcciones IP de los paquetes no se
convierten o los paquetes se podrían descartar.
No obstante, esto no provocará ningún daño en el hardware o el
sistema. Si desea ajustar los valores de los parámetros, tenga en cuenta los
siguientes elementos:
- El valor de MAXCON debe ser lo suficientemente alto como para dar
cabida al número de conversaciones que se desea utilizar. Por
ejemplo, si se utiliza el protocolo de transferencia de archivos
(FTP), el sistema personal tendrá dos conversaciones activas. En este caso,
será necesario establecer MAXCON de manera que dé cabida a múltiples
conversaciones para cada sistema personal. Habrá que decidir cuántas conversaciones concurrentes interesa
permitir en la red. El valor predeterminado es 128.
- El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo
suficientemente alto como para dar tiempo a que finalicen las conversaciones entre los
sistemas personales y el servidor.
Para que la función NAT de ocultación
funcione correctamente, debe haber una conversación interna en curso. El valor de TIMEOUT indica al código cuánto debe esperar a que se produzca una
respuesta a esta conversación interna. El valor predeterminado es 16.
- La NAT de enmascaramiento solo soporta estos
protocol: TCP, protocolo de datagramas de usuario (UDP) y protocolo
Internet de mensajes de control (ICMP).
- Siempre que utilice NAT, debe habilitar el reenvío IP. Utilice el mandato
Cambiar atributos de TCP/IP (CHGTCPA) para verificar que el valor de reenvío de datagramas IP
es YES.