¿Qué es la traducción de direcciones de red?
La traducción de direcciones de red (NAT) es el proceso en el que un dispositivo de red, normalmente un cortafuegos, asigna una dirección pública a un ordenador (o grupo de ordenadores) dentro de una red privada. El uso principal de NAT es limitar el número de direcciones IP públicas que una organización o empresa debe utilizar, tanto por motivos de economía como de seguridad.
La forma más común de traducción de red implica una gran red privada que utiliza direcciones en un rango privado (10.0.0.0 a 10.255.255.255, 172.16.0.0 a 172.31.255.255, o 192.168.0 0 a 192.168.255.255). El esquema de direccionamiento privado funciona bien para los ordenadores que sólo tienen que acceder a recursos dentro de la red, como las estaciones de trabajo que necesitan acceder a servidores de archivos e impresoras. Los routers dentro de la red privada pueden enrutar el tráfico entre las direcciones privadas sin problemas. Sin embargo, para acceder a recursos fuera de la red, como Internet, estos ordenadores tienen que tener una dirección pública para que las respuestas a sus peticiones vuelvan a ellos. Aquí es donde entra en juego el NAT.
Las solicitudes de Internet que requieren la traducción de direcciones de red (NAT) son bastante complejas, pero ocurren tan rápidamente que el usuario final rara vez sabe que ha ocurrido. Una estación de trabajo dentro de una red hace una solicitud a un ordenador en Internet. Los routers de la red reconocen que la solicitud no es para un recurso dentro de la red, por lo que envían la solicitud al cortafuegos. El cortafuegos ve la solicitud del ordenador con la IP interna. A continuación, realiza la misma solicitud a Internet utilizando su propia dirección pública, y devuelve la respuesta del recurso de Internet al ordenador dentro de la red privada. Desde la perspectiva del recurso en Internet, está enviando información a la dirección del cortafuegos. Desde la perspectiva de la estación de trabajo, parece que la comunicación es directamente con el sitio en Internet. Cuando se utiliza NAT de esta manera, todos los usuarios de la red privada que acceden a Internet tienen la misma dirección IP pública cuando utilizan Internet. Esto significa que sólo se necesita una dirección pública para cientos o incluso miles de usuarios.
La mayoría de los cortafuegos modernos son stateful – es decir, son capaces de establecer la conexión entre la estación de trabajo interna y el recurso de Internet. Pueden hacer un seguimiento de los detalles de la conexión, como los puertos, el orden de los paquetes y las direcciones IP implicadas. A esto se le llama seguimiento del estado de la conexión. De este modo, son capaces de seguir la sesión compuesta por la comunicación entre la estación de trabajo y el cortafuegos, y el cortafuegos con Internet. Cuando la sesión termina, el cortafuegos descarta toda la información sobre la conexión.
Hay otros usos para la traducción de direcciones de red (NAT) más allá de simplemente permitir que las estaciones de trabajo con direcciones IP internas accedan a Internet. En las grandes redes, algunos servidores pueden actuar como servidores web y requieren acceso desde Internet. A estos servidores se les asignan direcciones IP públicas en el cortafuegos, permitiendo al público acceder a los servidores sólo a través de esa dirección IP. Sin embargo, como capa adicional de seguridad, el cortafuegos actúa como intermediario entre el mundo exterior y la red interna protegida. Se pueden añadir reglas adicionales, incluyendo los puertos a los que se puede acceder en esa dirección IP. El uso de NAT de este modo permite a los ingenieros de red dirigir de forma más eficiente el tráfico de la red interna a los mismos recursos y permitir el acceso a más puertos, al tiempo que se restringe el acceso en el cortafuegos. También permite el registro detallado de las comunicaciones entre la red y el mundo exterior.
Además, NAT puede utilizarse para permitir el acceso selectivo al exterior de la red, también. A las estaciones de trabajo u otros ordenadores que requieran un acceso especial fuera de la red se les pueden asignar IPs externas específicas utilizando NAT, lo que les permite comunicarse con ordenadores y aplicaciones que requieren una dirección IP pública única. De nuevo, el cortafuegos actúa como intermediario, y puede controlar la sesión en ambas direcciones, restringiendo el acceso a los puertos y los protocolos.