Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Uso de la función NAT del filtro IP

NAT establece las reglas de asignación que traducen las direcciones IP de origen y destino en otras direcciones de Internet o intranet. Estas reglas modifican las direcciones de origen y destino de los paquetes IP entrantes o salientes y envían los paquetes. También puede utilizar NAT para redirigir el tráfico de un puerto a otro. NAT mantiene la integridad del paquete durante cualquier modificación o redirección que se lleve a cabo en el paquete.

Puede crear reglas de NAT en la línea de comandos, mediante el comando ipnat, o en un archivo de configuración de NAT. Debe crear el archivo de configuración de NAT y definir su nombre de ruta como el valor de la propiedad config/ipnat_config_file del servicio. El valor predeterminado es /etc/ipf/ipnat.conf. Para obtener mas información, consulte la página del comando man ipnat(1M).

Las reglas NAT pueden aplicarse tanto a direcciones IPv4 como IPv6. Sin embargo, debe definir reglas separadas para cada tipo de dirección. En una regla NAT que incluye las direcciones IPv6, no puede utilizar los comandos NAT mapproxy y rdrproxy simultáneamente.

Configuración de reglas de NAT

La sintaxis siguiente permite crear reglas NAT:

command interface-name parameters
  1. Cada regla empieza con uno de los comandos siguientes:

    map

    Asigna una red o dirección IP a otra red o dirección IP en un proceso por turnos.

    rdr

    Redirige los paquetes de una dirección IP y un par de puertos a otra dirección IP y otro par de puertos.

    bimap

    Establece una NAT bidireccional entre una dirección IP externa y una dirección IP interna.

    map-block

    Establece una traducción basada en una dirección IP estática. Este comando se basa en un algoritmo que fuerza la traducción de las direcciones en un intervalo de destino.

  2. Después del comando, la siguiente palabra es el nombre de la interfaz, por ejemplo bge0.

  3. A continuación, puede elegir entre una serie de parámetros, que determinan la configuración de NAT. Algunos de los parámetros son:

    ipmask

    Designa la máscara de red.

    dstipmask

    Designa la dirección a la que se traduce ipmask.

    mapport

    Designa los protocolos tcp, udp o tcp/udp, junto con una serie de números de puerto.

El siguiente ejemplo muestra cómo crear una regla NAT. Para volver a escribir un paquete saliente del dispositivo net2 con una dirección de origen de 192.168.1.0/24 y mostrar externamente su dirección de origen como 10.1.0.0/16, debe incluir la siguiente regla en el conjunto de reglas NAT:

map net2 192.168.1.0/24 -> 10.1.0.0/16

Se aplican las siguientes reglas a las direcciones IPv6:

map net3 fec0:1::/64 -> 2000:1:2::/72 portmap tcp/udp 1025:65000
map-block net3 fe80:0:0:209::/64 -> 209:1:2::/72 ports auto
rdr net0 209::ffff:fe13:e43e port 80 -> fec0:1::e,fec0:1::f port 80 tcp round-robin

Para ver la gramática y la sintaxis completas, consulte la página de comando man ipnat(4).