¿Qué es un cortafuegos NAT y cómo funciona?

Lo más fácil que creo en entender NAT es descifrar el término traducción de direcciones de red. NAT proporciona una ruta a las computadoras con “direcciones IP privadas”, a las que no se puede acceder desde fuera de la red de área local, desde la comunidad global de direcciones IP. Por lo tanto, proporciona una forma de comunicación hacia y desde direcciones IP registradas globalmente a través de un enrutador que sirve como puente entre las direcciones IP públicas y las que son direcciones IP privadas. NAT cumple una función importante al proporcionar la capacidad de tener numerosos dispositivos conectados a la comunidad global sin la necesidad de que cada uno de ellos tenga que comprar una IP o un bloque de IP. Imagine lo rápido que nos habríamos quedado sin direcciones IP si no fuera por los rangos de direcciones IP privadas que se están incorporando en el protocolo.

Normalmente, NAT se usa en enrutadores. Dicho esto, puede causar una gran confusión al comprenderlo cuando se trata con muchos módems DSL. Estos dispositivos a menudo se venden con un solo puerto de conexión LAN y pueden confundirse con un solo dispositivo para conectarse. De hecho, un término más apropiado para ellos sería Enrutador / Módem, ya que modulan la señal entrante de la línea DSL y también proporcionan la traducción de la dirección de red al dispositivo conectado o, por lo demás, a cualquier otro dispositivo conectado a ese dispositivo. Encontré esta realidad después de pasar innumerables horas tratando de averiguar por qué no podía reenviar puertos específicos a mi computadora. La resolución finalmente llegó cuando descubrí que tenía 2 dispositivos que intentaban hacer NAT dentro de la misma LAN. La respuesta fue dejar que mi enrutador hiciera NAT y simplemente usar el módem en modo puente.

Espero que esto aclare el protocolo de alguna manera para ti. Prefiero referirme a NAT menos el Firewall NAT aparentemente obligatorio, ya que muchos se refieren a él. Sí, de hecho, proporciona una especie de cortafuegos, pero no creo que fuera su mayor propósito.

Analizándolo más a fondo, los desarrolladores del protocolo configuraron un par de grupos de direcciones para ser utilizados solo por dispositivos conectados dentro de una LAN. 192.168. *. * Y 10. *. *. *. No se puede acceder a ningún dispositivo conectado a la red que utilice una IP dentro de cualquiera de estos dos grupos ni a un dispositivo con una IP global. Por lo tanto, puede conectar miles de dispositivos dentro de su LAN para hablar entre ellos, y todos requieren necesariamente una dirección IP. Del mismo modo, para que cualquiera de esos dispositivos vaya más allá de los límites de su LAN a una WAN, es necesario un dispositivo de traducción. Ingrese al enrutador.

La traducción de direcciones de red o NAT es el trabajo de cada enrutador para convertir las conexiones realizadas desde la red interna de su LAN a la PC, a la red externa, la WAN. Es la puerta de entrada a la gran red mundial (WWW).

Al convertir LAN a direcciones WAN, se crea una lista de conexiones, una tabla o una base de datos a partir de SOLO solicitudes salientes de la computadora local. Los números de LAN se reutilizan como un número de extensión de teléfono en una oficina, por lo que esto significa que para el tráfico general en todos los puertos, las llamadas solo pueden realizarse desde la computadora local. Las llamadas de tráfico entrantes se rechazan a menos que existan en la tabla en el enrutador o conmutador (independiente o incluido en el módem). Hay muchas reglas para garantizar la integridad y seguridad de la conexión a menos que una sea “falsificada” o no sepa cómo se puede instalar malware con falsas alarmas para actualizar, etc.

Esta es exactamente la misma regla utilizada en los firewalls de software, por lo que en realidad es un firewall de hardware y su pregunta implica esto, pero estas son dos tareas separadas.

También es posible con dos puertos ethernet en una computadora realizar NAT en la LAN o, en realidad, en cualquier “puerta de enlace”.

También es posible tener un firewall de software.

Cuando dice NAT Firewall , implica las dos características en una pequeña caja o computadora con un sistema operativo y firmware para realizar estas tareas. Una solución de firmware común es un “busybox” de Linux que se encuentra dentro de muchos enrutadores, conmutadores o módems domésticos . Aunque cada uno de estos términos tiene algo en común, no son intercambiables.

Los ect también se denominan “ruido de Internet” y ocurren con frecuencia, pero no hay motivo de alarma y los enrutadores descartan los paquetes de datos todo el tiempo. Cuando ocurre más de lo que el mecanismo de control de flujo en el enrutador puede soportar, llamamos a esto un ataque de denegación de servicio o DoS. Reinicie el enrutador e intente nuevamente, o solicite ayuda.

Hay reglas para la comunicación entrante permitida simple, como Ping, que usa un código específico solo para una tarea simple para establecer que una conexión es posible y probar que está conectado. Esto puede permitirse en algunas configuraciones de enrutador, pero generalmente se anula. Hay otros puertos utilizados solo por aplicaciones específicas para funciones limitadas que pueden configurarse para permitir que esas aplicaciones escuchen como clientes de juegos a servidores de juegos. Es solo cuando Malware lo engaña para permitir que se instale una actualización o aplicación u otro método tortuoso similar que NAT puede ser ignorado por una solicitud interna solicitada para hacer conexiones como cambiar su servidor DNS para que algún sitio en un país extranjero pueda redirigir su tráfico, entonces necesita herramientas de supervisión para evitar esto. Uso WinPatrol (gratis, aunque pagué para apoyar al autor hace 10 años) que monitorea el secuestro de “páginas de inicio, cambios en la red, nuevos inicios de programas falsos agregados a aplicaciones de aspecto legítimo. Entonces puedo elegir desactivar permanentemente esa manzana podrida”. desde el lanzamiento en la próxima bota. Es como tener un perro para escuchar la puerta de atrás y la puerta de entrada. Algunos visitantes son buenos, otros como vendedores ambulantes, digo, gracias pero no gracias.

No me molesto con los conjuntos de seguridad de slugware masivos, porque tengo herramientas para detectar y analizar si el rendimiento es sospechoso. Esto me da la seguridad adecuada y un mejor rendimiento. Backup, Restore son sus mejores opciones y tenga cuidado con cómo y dónde se utilizan sus credenciales financieras personales. Como si nunca hubiera utilizado un punto de acceso WiFi para realizar operaciones bancarias en línea, pero desde un enrutador doméstico no tengo problemas para usar con la tarjeta de crédito de Amazon.

Por lo tanto, los datos no solicitados no pueden fluir a menos que sean aprobados por la acción del usuario en una aplicación. El firewall interno tiene la misma regla ** en Windows, etc.

La mejor seguridad está entre tus oídos. Así que infórmese mejor sobre cómo se ven las Aplicaciones Rogue en el sitio web “bleepingcomputer (dotcom)” y siéntase cómodo con los cambios en su rendimiento a largo plazo sin preocuparse, pero sea más inteligente e investigue y haga preguntas. Entonces tendrás más confianza. Confiar pero verificar. Tenga en cuenta que las actualizaciones de Windows y la búsqueda de archivos también pueden hacer que su PC sea lenta a veces, eso es normal, pero a largo plazo, no. Tener demasiada seguridad es como esperar en los aeropuertos. Efectivo? no.

La idea general es la siguiente: tiene dispositivos A, B y C que viven en una red y pueden verse (llamando sus nombres A, B o C).

Si quieren llamar a alguien fuera de esta red, lo hacen (A dice “hey Z”) y su llamada pasa por una puerta (THEGATE) que intercepta la llamada, elimina la identidad de la persona que llama y realiza la llamada en su nombre.
Por lo tanto, Z verá una llamada de THEGATE, no tendrá idea de quién realmente hizo la llamada: todo es transparente para él (y de todos modos no le importa).

Si Z quiere responder, obviamente responde a THEGATE (recibió la llamada desde allí). THEGATE ha mantenido inteligentemente una lista de quién entre A, B y C llamó a quién fuera. En ese caso, él sabe que la llamada a Z era en realidad de A, por lo que reenvía la respuesta de Z a A.
Ahora A ha recibido una respuesta de Z; nuevamente, todo transparente, no está al tanto de todos los cambios realizados en el camino.

¿Por qué hacer esto?

Esto permite que muchos dispositivos (A, B y C) se vean solo como THEGATE. Esto es NAT. ¿Pero por qué tanta complicación?

• Las direcciones THEGATE son raras y caras. En el mundo real se les llama “direcciones IP públicas” y casi nos quedamos sin ellas (“casi” está en disputa, pero supongamos que realmente nos faltan)

En Internet, los dispositivos solo pueden llamar a direcciones de tipo THEGATE, no pueden llamar directamente a direcciones como A, B o C (que se llaman “direcciones IP privadas”)

• Como no puede alcanzar (ni ver) A, B o C, puede sentirse tentado a asegurar solo THEGATE, ya que es el único que realmente habla en Internet. Esto es cierto hasta cierto punto, ciertamente no es una muy buena idea, pero al menos ofrece una forma de seguridad para estas redes ocultas. Por cierto, tienes un NAT en casa (hecho a través del dispositivo que te conecta a Internet
• Hay otros usos para los NAT, algunos mejores, otros peores (en particular, podría tener una traducción donde A, B y C se traducen a THEGATE_A, THEGATE_B y THEGATE_C, y se ven como tales en la red externa)

La solución a los problemas planteados por NAT es IPv6. No contengas la respiración, todavía no estamos allí (aunque se supone que debemos estar por ahora 10 o 15 años). IPv6 también permite NAT.

Amigo, no se trata de jerga técnica, sino de lo que son las cosas.

Es una disciplina técnica y lo sabes o no.

Dicho esto, trataré de simplificarlo para ti.

NAT es la traducción de direcciones de red . Cuando se encuentra en una red interna, se le asigna una dirección IP, pero eso no es bueno para navegar por Internet.

En otras palabras, es como si vayas a un borde y muestres tu pasaporte. Sí, es una identificación válida en su país pero, para que pueda ir a otro país, necesita el sello de la guardia fronteriza.

Eso es lo que hace un enrutador. Convierte esa IP interna (su pasaporte) en una IP pública (el sello), para que pueda acceder a Internet.

Un cortafuegos filtra el tráfico entrante y saliente a su red, un poco como lo hace un detector de metales dentro de un banco o un aeropuerto.

Un firewall NAT es un firewall que utiliza la misma técnica que NAT para filtrar paquetes.

Seguridad del enrutador VPN Firewall Nat

La traducción de direcciones de red (NAT) no es un tipo de firewall, sino que es una función realizada por un firewall. El protocolo NAT le permite tener un conjunto de direcciones en el interior de su firewall y otro conjunto en el exterior.

El uso de NAT le permite usar direcciones “privadas” en los rangos 10.xxx, 172.16.xx – 172.31.xx o 192.168.xx en su red privada, mientras que la interfaz externa opera en Internet pública.

El artículo de Wikipedia sobre el tema es bastante bueno.
https://en.m.wikipedia.org/wiki/ …

El término NAT significa Traducción de direcciones de red. Se utiliza para traducir las direcciones IP de muchos dispositivos conectados a una red de área local a una sola dirección IP. Esta dirección IP generalmente es utilizada por el enrutador que se utiliza para conectar el dispositivo a Internet. Esto hace que los otros dispositivos externos que tienen la intención de acceder a las computadoras en la red local, vean la única dirección IP del enrutador, ocultando todas las direcciones IP de los dispositivos de las amenazas externas (). Sin embargo, el enrutador se puede configurar como un firewall que protegerá la red y permitirá que solo el dispositivo autorizado acceda a las computadoras en la red local. Esto puede agregar un nivel adicional de seguridad a su red de Internet que bloqueará cualquier intento no autorizado de acceder a su red de Internet.

¿Cómo funciona un firewall NAT?

Después de permitir que el sistema autorizado acceda a cualquier dispositivo en la red de área local, el NAT traduce la dirección IP del enrutador a una dirección de computadora en particular. Esta dirección está predefinida en la tabla NAT que define las direcciones IP internas de todos los dispositivos conectados a la red local. Esta tabla también describe la dirección de la red mundial vista por los dispositivos fuera de la red. Aunque cada dispositivo conectado a la red local tiene su dirección IP, las fuentes externas solo pueden ver la dirección IP del enrutador cuando se conectan a cualquiera de los dispositivos en la red local. En resumen, el cortafuegos NAT funciona como intermediario entre un grupo de computadoras conectadas a una red local e Internet o la red mundial. El cortafuegos NAT bloquea todos los sistemas no autorizados que intentan acceder a la red de área local según las reglas predefinidas en la tabla NAT. Esto puede explicarse fácilmente para una persona no técnica dando un ejemplo de tres dispositivos nombrados como 1, 2 y 3. Los tres dispositivos están conectados a una red local. Si el dispositivo 1 quiere llamar al dispositivo 4 que está fuera de la red, la llamada pasará primero por una puerta de enlace. Esta puerta de enlace interceptará la llamada, reemplazando la dirección IP del dispositivo 1 con la dirección IP de la puerta de enlace y realizará la llamada en su nombre. Por lo tanto, el dispositivo 4 pensaría que la llamada proviene de la puerta de enlace y la identidad de la persona que llama (dispositivo 1) se mantendría en secreto, y no importa para el dispositivo 4. Ahora, el dispositivo 4 responde la llamada al puerta de enlace, y la puerta de enlace reenvía la respuesta al dispositivo 1, sin darse cuenta de los cambios realizados en el camino. La puerta de enlace es el firewall NAT que funciona como agente entre un dispositivo interno 1 en la red local y el dispositivo 4 fuera de la red o de Internet. Cuando intentas acceder a cualquier sitio web, necesitas tener una red de conexión a Internet. El cortafuegos NAT de esta red traduce la dirección IP de su dispositivo a la suya y envía su solicitud al servidor del sitio web (que solo puede ver la dirección IP del enrutador). Sin embargo, el firewall de NAT puede denegar la solicitud si se descubre que el sitio web tiene material malicioso.