Destination Nat port

Destination NAT Port

El destination nat port es similar al destination NAT, ya que el NAT es mediante los puertos. La raz贸n es por que muchas veces tenemos servidores internos que tienen a la escucha el mismo puerto. Por ejemplo dos servidores web y dos servidores ftp y una sola IP publica. Lo que hacemos es asignar puertos destinos de manera aleatoria y posteriormente convertir la petici贸n del puerto que tiene a la escucha el servidor web y asegurar que la comunicaci贸n este completa.

驴Como funciona el Destination Nat Port?

Para poder entender mejor el destination NAT, imaginemos que tenemos dos servidores web con IP 192.168.102.1 y 192.168.102.2 que est谩n a la escucha del puerto 80, por otra parte tenemos dos servidores ftp 192.168.102.3 y 192.168.102.4 con el puerto 21 a la escucha. Los cuatro servidores tienen asignado el mismo direccionamiento publico con ip 200.201.202.206.

Para poder resolver este problema, lo que hacemos es asignar puertos aleatorios en el destino. Podemos decirle a nuestro firewall que cuando la petici贸n llegue a la ip publica con los siguientes puertos 8080 y 8081 se lo entregue a los servidores 1 y 2, cuando se genere al 2021 y 2022 se entregue a los servidores 3 y 4 asegurando que la petici贸n se entregue a cada uno de lo servidores con los puertos correspondientes, como lo muestra la tabla.

Este tipo de Nat se utiliza para enmascarar tanto los puertos como las ips, muchas empresas los utilizan para poder administrar sus equipos a trav茅s de varios puertos.

Otros NAT

Tambi茅n te puede interesar los siguientes NAT.

destination NAT

Destination NAT

El Destination NAT o PAT se utiliza para Mapear varios servidores mediante una sola IP publica. Se utiliza cuando no se cuenta con muchas IPs publicas disponibles y se requiere acceder desde internet a varios servidores por puertos distintos cada uno de ellos.聽

Ya que podemos tener un servidor de correo, un servidor web, un servidor ftp, etc.聽 Lo que hace este NAT es crear pools de direcciones y asociarlos con puertos destino, con eso aseguramos que las peticiones corresponda a cada uno de los servidores destino.

驴Como funciona el Destination NAT?

El Destination Nat se utiliza exclusivamente para una petici贸n de entrada. Imaginemos que contamos con 4 servidores con las siguientes IPs: 192.168.101.1,聽192.168.101.2,聽192.168.101.3 y聽聽192.168.101.4, cada uno de ellos tiene a la escucha los siguientes puertos 22, 80, 443, 3389 respectivamente. Se les asigna la ip publica 200.201.202.205. Las peticiones de origen que se generen son de cualquier lugar en internet, apuntando a la ip publica como destino. Dependiendo a que puerto destino se apunte es el servidor asignado, de acuerdo a la tabla.

Para que la petici贸n este completa se invierten los puertos, con la finalidad de que nuestro dispositivo(firewall, modem, etc) sepa a quien entreg谩rselo de acuerdo a la siguiente tabla.

Este tipo de NAT es muy utilizado cuando se tienen muchos servidores pero solo se cuenta con una IP publica, lo que hace que los costos de tener solo 1 IP sean muy bajos.

Otros NAT

Tal vez te interese los siguientes NAT.

Static NAT

Static NAT

El static NAT asigna una ip privada con una ip publica, esto con la finalidad de que al publicar nuestros servicios en internet este solo se asigne a un solo聽 dispositivo. Al asignar una ip publica fija, hace que el precio se eleve, por lo que este tipo de NAT se utiliza cuando tenemos publicado un servidor web, entonces cuando desde internet requieren buscarnos entran a nuestro Firewall y este entrega al servidor.

驴Como funciona el static NAT?

Imaginemos que tenemos un servidor web que deseamo que sea consultado desde internet. Las personas que no estan familiarizados con聽 direccinamientos IP, acceden mediante un nombre dominio. Pensemos que tenemos una pagina que se llama www.practica.com y tiene asignado una ip publica 200.201.203.204, y el servidor tiene una ip privada 192.168.100.1.

Imaginemos que estamos en nuestra casa y tenemos la ip publica 216.58.193.46,聽 el trafico que veria el firewall es el siguiente donde nosotros generamos el trafico desde nuestra ip origen y apuntando al servidor web (80 y 443). Y el puerto origen se genera de manera aleatoria.

Si nuestro servidor desea consultar a internet el firewall ve pasar el trafico como lo muestra la tabla, imaginemos que consulta 8.8.8.8 por los puertos 443 y 80. Este seria el flujo que seguiria nuestro NAT.

En resumen cuando las peticiones vienen de afuera hacia adentro observen que el destino es nuestro servidor mediante la ip publica. Si la petici贸n es de salida se requiere que la ip privada sea el origen.

Otros NAT

Estos NAT te podrian interesar.

Source NAT

Source NAT

El Source Nat o tambi茅n conocido como hide NAT, se utiliza para hacer un mapeo de varias direcciones IP a una solo ip como origen. Este tipo de Nat se utiliza en los modems convencionales, nuestro proveedor de internet nos asigna una ip publica. Pero nosotros podemos tener mas de un solo equipo conectado a trav茅s de un cable de red o por WIFI.

Si el proveedor nos asignara una IP publica a cada dispositivo, esto聽 incrementar铆a el costo y para ellos no seria rentable. Por esa raz贸n utilizan el聽 Source NAT para evitar asignar una ip publica a todos los dispositivos conectados en nuestra RED.

驴Como Funciona el Source NAT?

Imaginemos que tenemos una ip publica con direccionamiento 200.201.202.203聽 y tenemos tres redes que requieren salir a internet con los siguientes datos LAN1 192.168.10.0/24, LAN2 192.168.11.0/24 y LAN3 192.168.12.0/24

En el segmento聽 LAN1 tenemos tres maquinas que van a consultar la misma pagina por el puerto 443. De acuerdo a la imagen este es el flujo que sigue. El equipo que inicia la petici贸n son nuestros tres dispositivos (192.168.10.1,2,3) que consultan la ip publica 216.58.193.46 por el puerto 443 como destino, de manera aleatoria se genera un puerto como origen. Cuando se genera esta petici贸n el Firewall o Modem convierten la ip Origen privada en la ip Publica, la ip destino es la misma y el puerto destino es el 443.

Una vez que ocurre esto, el servidor tiene que responder a nuestra petici贸n y ocurre lo siguiente como lo muestra la imagen. El server 216.58.193.46 le responde a la ip 200.201.202.203, pero la forma en la que el firewall sabe a quien entregarle聽 es mediante la ip Origen que se genera de manera aleatoria. Y con esta forma se asegura la comunicaci贸n cliente servidor, a trav茅s de los NAT.

El Source NAT nos ayuda a darle salida a internet a nuestra RED LAN, a trav茅s de una solo IP. Solo hay que entender que tanto direccionamiento IP como puerto nos ayudan a que esto sea posible.聽Este tipo de NAT tambi茅n se puede utilizar en una comunicaci贸n LAN to LAN o por una VPN.聽

Otros NAT

Estos son otros NAT que pudieran interesarte.

驴Que es UTM?

驴Que es UTM?

UTM (Unified Threat Management)聽 en espa帽ol es la Gesti贸n unificada de amenazas. Los UTM聽 fueron evolucionando debido al incremento de ataques a infraestructuras de red,esto provoco que se agregaran nuevos聽 complementos a los dispositivos y poder hacer frente a las vulnerabilidades que pudieran existir en las Redes.聽Estas funciones son incorporados en un solo dispositivo:

  • Firewall: Nos ayuda en la inspecci贸n de paquetes.
  • VPN: Crear un tunel de seguridad para comunicar redes privadas.
  • Web-Filter: Bloqueo de peticiones a Internet, ingresando url o por categor铆as.
  • Antispam: Para el bloqueo de correos maliciosos.
  • Antivirus: Nos ayuda a evitar que nuestros dispositivos sean infectados por virus.
  • IPS/IDS: Nos ayuda a detectar o prevenir ataques de intrusi贸n.

Lo que hace que al habilitar los m贸dulos comience a tornarse lento, ya que tiene que hacer las inspecciones de los paquetes de entrada y salida del Firewall.

Esto realmente no beneficiaba a grandes compa帽铆as por la cantidad de trafico que se聽 procesa y se volv铆a ca贸tico al tener habilitado todos los m贸dulos de un solo equipo. Para el caso de compa帽铆as peque帽as o medianas el beneficio econ贸mico era enorme, se pod铆an adquirir un solo equipo con m煤ltiples funciones

Algunos fabricantes ya tienen incorporan los blade, para poder utilizarlos se ten铆an que habilitar y aplicar las reglas de acuerdo a las necesidades que requiere cada聽 empresa . Otros fabricantes venden las licencias de cada blade. En la actualidad podemos encontrar fabricantes que utilizan cualquiera de las dos practicas para abarcar mercados.

Es muy importante recalcar que aunque el concepto de UTM aun es utilizado, existe un gran avance en algunas tecnolog铆as que est谩n atacando el problema de lentitud, que es conocido como Firewalls de nueva generaci贸n o NGFW.