Implementacion de NAT - JUGM 2010

“Implementación de una NAT”
Jorge Ulises González Medina --- 2010

NAT(Network Address Translation)
NAT son las siglas del inglés network address translation o traducción de direcciones de red y es un mecanismo
que se usa ampliamente hoy en día, fundamentalmente porque permite compartir una dirección IP pública por
muchos equipos y esto es imprescindible en muchas situaciones por la escasez de direcciones IPv4.

Existen diferentes tipos de NAT, dependiendo de si se cambia la dirección IP origen o la dirección IP destino del
paquete que abre la conexión, incluso existe una extensión de NAT que permite modificar el puerto origen o
destino. Estos tipos de variantes de NAT reciben diferentes nombres dependiendo de la implementación,
aunque más que el nombre lo importante es saber las posibilidades de NAT.

Tipos de NAT

1. SNAT: Cuando la dirección IP pública que sustituye a la IP origen es estática (SNAT también significa
Static NAT).
2. MASQUERADE: Cuando la dirección IP pública que sustituye a la IP origen es dinámica, caso bastante
habitual en conexiones a Internet domésticas.

¿QUÉ ES IPTABLES?

Iptables es un conjunto de herramientas (comandos) que le permiten al usuario enviar mensajes al kernel del
s.o.. El kernel tiene todo el manejo de paquetes TCP/IP metido dentro de él, no es algo aparte como lo es en
otros sistemas operativos, por lo tanto todos los paquetes que van destinados a un Linux o lo atraviesan son
manejados por el mismo kernel. Esto tiene sus ventajas y desventajas, si bien no me considero un experto en el
tema, puedo arriesgar algunos pros y contras ... pero no nos vayamos de tema, el hecho de que el kernel
maneje cada paquete de red nos permite (a través de iptables) decirle al kernel qué debe hacer con cada uno
de los paquetes.

Entonces, iptables es una forma de indicarle al kernel algunas cosas que debe hacer con cada paquete, esto se
hace en base a las características de un paquete en particular. Los paquetes de red tienen muchas
características, algunas pueden ser los valores que tienen en sus encabezados (a donde se dirigen, de donde
vienen, números de puertos, etc., etc.), otra puede ser el contenido de dicho paquete (la parte de datos), y
existen otras características que no tienen que ver con un paquete en particular sino con una sumatoria de
ellos. La idea es lograr identificar un paquete y hacer algo con el mismo.

TABLAS, CADENAS Y REGLAS

Antes de empezar a ver cómo se utilizan es muy importante determinar qué son las tablas, las cadenas, las
reglas y más importante aún, cuándo (en qué momento) y dónde (en qué tabla+cadena) el kernel revisa cada
paquete.

1


Las tablas en iptables se dividen en 3: filter, nat y mangle. La primera (filter) es donde se encuentran todas las
cadenas que pueden contener reglas que hagan filtrado de paquetes (acepten, rechacen o denieguen
paquetes).

La regla es la orden específica que le indica al kernel qué hacer cuando encuentra un paquete con las
características que están indicadas en la misma regla. Las reglas están contenidas dentro de cadenas y las
cadenas están dentro de las tablas.

Entonces, el funcionamiento es sencillo: entra un paquete por una interfase de red y el kernel empieza a
procesarlo, el paquete pasa por todas las tablas de iptables (pero no por todas las cadenas) y es verificado
contra cada una de las reglas que va encontrando dentro de las cadenas que tengan sentido. Cuando un
paquete cumple con las características que se definieron en una regla, la acción es ejecutada. Luego,
dependiendo el tipo de regla, el paquete es verificado contra las subsiguientes reglas o no (generalmente no se
continua con la verificación

El comando a grandes rasgos quedaría así:

iptables <ubicacion> <especificacion> <accion>

Para determinar la ubicación de la regla que se está agregando se utilizan las siguientes opciones:

-t «tabla»
indica en qué tabla se va a ubicar la reglas
-A «cadena»
agrega una regla al final de la lista de reglas de la «cadena»
-I «cadena» [pos]
inserta una regla dentro de la cadena «cadena» en la posición [pos]

Para determinar la especificación del paquete se utilizan estas opciones generalmente:

-s «dirección»
indica que el paquete proviene de la dirección «dirección» (se pueden usar prefijos para especificar un
rango de IPs o un único número de IP), si se le agrega un ! se niega la opción
-d «dirección»
indica que el paquete va destinado a la dirección «dirección».
-i «interfase»
indica la interfase de entrada (en la especificación de interfases se puede utilizar el símbolo ``+'' como
metacaracter, por ejemplo ``eth+'' que contempla eth0, eth1, eth2, etc.)
-o «interfase»
indica la interfase de salida

2


-p «protocolo»
indica el protocolo del paquete (los más comunes son ``tcp'', ``udp'', ``icmp'', pero hay muchos tipos de
protocolos soportados)
- -dport «puerto»
indica el número de puerto destino
- -sport «puerto»
indica el número de puerto origen
-m «módulo»
indica que se va a utilizar un módulo en particular (si bien esto no hace a la especificación del paquete,
se debe indicar para que el iptables entienda qué funcionalidad extra deberá utilizar con el fin de
``matchear'' el paquete)

Para determinar la acción de la regla se utiliza una única opción:

-j «acción o cadena»
con esta opción le indicamos que cuando un paquete coincida con las características expresadas en la
regla, se deberá toma la acción «acción» o saltar a la cadena «cadena». Dependiendo la acción el
kernel dejará de verificar las subsiguientes reglas o no.

3


¿QUÉ ES UNA MÁQUINA VIRTUAL?

Una maquina virtual es una computadora abstracta, una computadora o máquina emulada a partir de
software, en donde existe un “Sistema Anfitrión (Host)” y un “Sistema Invitado (Guest)”.
El sistema host es el sistema operativo nativo de la computadora, y el sistema guest es el sistema operativo que
corre sobre la maquina virtual. Se ejecuta sobre el hardware y el sistema operativo de la maquina real,
logrando proporcionar varias maquinas virtuales al siguiente nivel de software. Por eso cada máquina virtual
puede estar ejecutando un sistema operativo distinto.
Su complejidad es muy variada, ya que algunas logran emular una computadora íntegramente: tarjetas de
video, discos duros, puertos, unidades de disco, etc.; mientras que otras tienen funciones más sencillas y
especializadas que brindan solo una capa de abstracción entre plataformas de hardware y software muy
específico

¿PORQUE USAR MAQUINAS VIRTUALES EN LUGAR DE
IMPLEMENTACIONES REALES?

Una maquina real, como su nombre lo dice, está dada para el uso, manejo y manipulación real de su hardware
y software y por lo cual están hechas con una función, manejo y control especifico.
Pero, la necesidad de usar nuevas aplicaciones y por consiguiente nuevos sistemas operativos, hacen que el
usuario requiera de múltiples sistemas con múltiples aplicaciones.
Sin embargo, si el usuario requiriera un cambio constante entre sistemas o aplicaciones en la maquina real,
sería imposible de llevar a cabo debido a que solo puede iniciar un sistema operativo a la vez. Además, el
usuario no podría manipular los recursos de la maquina real, ya que estos ya están establecidos físicamente.
También, si el usuario si deseara eliminar algún sistema instalado, tendría que dedicar tiempo en su proceso.
Y es por ello, que la maquina virtual permite lo que la maquina real no podría en tiempo real; pues esta le
permite al usuario poder tener varias computadoras de igual o diferente sistema operativo, con diferentes
aplicaciones, procesos y tareas instaladas y ejecutadas al mismo tiempo.

Las maquinas virtuales presenta muchas ventajas frente a una maquina real:

Proporcionan un ambiente en el cual el usuario puede ejecutar convenientemente sus programas
sin la necesidad de entrar en detalles y complejidades del hardware.
Son un medio excelente para alcanzar la portabilidad.
Introduce un nivel de protección y abstracción entre la computadora y el software que se ejecuta
sobre ella.
Permiten la creación de espacios o particiones independientes de proceso, con todos los recursos
de hardware necesarios.
Permiten la creación de varias computadoras virtuales dentro de la maquina real: Con posibilidad
de definir los recursos en hardware (espacio de disco duro, cantidad de memoria RAM, cantidad de

4


memoria de video etc.) y en software (sistema operativo a usar, programas a instalar dentro de la
MV, etc.) en cualquier momento.
Permiten usar diferentes computadoras al mismo tiempo: Con diferentes sistemas operativos,
aplicaciones, tareas, procesos o servicios ejecutándose al mismo tiempo.
Algunas, permiten el intercambio y la interacción de recursos y servicios entre maquinas virtuales,
pudiendo crear una red virtual que las comunique.
Permiten crear una nueva máquina virtual que sea copia de maquinas virtuales ya hechas
Permiten eliminar las maquinas virtuales en cualquier momento: Eliminando el sistema operativo,
configuraciones, recursos y programas instalados en ellas.
En beneficios económicos, las maquinas virtuales permiten una reducción de costos en infraestructura
física, logrando economizar en cantidad de servidores y hardware inherente al centro de datos, reducir
en requisitos inmobiliarios, de alimentación y refrigeración.
En caso de ataques o ejecución de un código malicioso en la MV, gracias a la maquina virtual los
ataques que se originen en esta, se llevarán a cabo aisladamente y encapsuladamente en ella,
protegiendo la maquina real.

¿Qué es VMware?
Es un sistema de virtualización por software. La
virtualización es el despliegue de una técnica, con la cual,
podemos recrear entornos y dispositivos virtuales como
sistemas de almacenamiento, redes, maquina, etc.
Esto lo hace por medio de un software que permite crear
un entorno virtual entre la plataforma física de la computadora y el usuario, permitiendo que este pueda
considerar que dispone de un recurso real y sin diferenciar sus funcionalidades finales: Lo virtual tiene una
existencia aparente y no es real. Es por ello que un sistema de virtualización como VMware, permite
transformar o “virtualizar” los recursos de hardware de un ordenador x86, incluidos CPU, RAM, disco duro y
controlador de red, para crear una máquina virtual completamente funcional que puede ejecutar su propio
sistema operativo y aplicaciones de la misma forma que lo hace un ordenador “real”.

VMware inserta directamente una capa de software en el hardware del ordenador o en el sistema operativo
host. Esta capa de software crea máquinas virtuales y contiene un monitor de máquina virtual o “hipervisor”
que asigna recursos de hardware de forma dinámica y transparente, para poder ejecutar varios sistemas
operativos de forma simultánea en un único ordenador físico sin ni siquiera darse cuenta.

No obstante, la virtualización de un ordenador físico único es sólo el principio. VMware ofrece una sólida
plataforma de virtualización que puede ampliarse por cientos de dispositivos de almacenamiento y
ordenadores físicos interconectados para formar una infraestructura virtual completa.

5


PRODUCTOS CON LOS QUE CUENTA VMWARE

VERSIONES GRATUITAS

VMware Player

Es un producto gratuito que permite correr máquinas virtuales creadas con otros productos de VMware, pero
no permite crearlas él mismo.

VMware Server (antes GSX)

En un principio era una versión de pago, desde hace unos meses puede ser descargada y utilizada de forma
gratuita. Esta versión, a diferencia de la anterior, tiene un mejor manejo y administración de recursos; también
corre dentro de un sistema operativo (host), está pensada para responder a una demanda mayor que el
Workstation. Otra diferencia entre VMware Server y Workstation es que se pueden ejecutar de manera
concurrente más máquinas virtuales soportando servidores con hasta 32 procesadores y/o 64 GB de memoria,
ofreciendo funcionalidad de administración remota, soporta una API avanzada y funcionalidad de scripting .

VMware ESXi

Es una versión completa del producto ESX, pero con varias limitaciones, entre ellas: no permite instalar
controladores (drivers) para hardware adicional (es decir, si el ESXi no posee los controladores el hardware no
puede ser utilizado); no permite utilizar las funciones avanzadas de movimiento de maquinas virtuales
encendidas (ON) de un equipo físico a otro, ni hacerlo con el almacenamiento.

VERSIONES COMERCIALES

VMware Workstation

Es uno de los más utilizados pues permite la emulación en plataformas PC x86, esto permite que cualquier
usuario con una computadora portátil o de escritorio pueda emular tantas máquinas virtuales como los
recursos de hardware lo permitan. Esta versión es una aplicación que se instala dentro de un sistema operativo
(host) como un programa estándar, de tal forma que las máquinas virtuales corren dentro de esta aplicación,
existiendo un aprovechamiento restringido de recursos.

VMware ESX Server

Esta versión es un sistema complejo de virtualización, pues corre como sistema operativo dedicado al manejo y
administración de máquinas virtuales dado que no necesita un sistema operativo host sobre el cual sea
necesario instalarlo. Pensado para la centralización y virtualización de servidores, esta versión no es compatible

6


con una gran lista de hardware doméstico, por ejemplo no reconoce los disco IDE como unidades de
almacenamiento y sería inútil instalarlo en este tipo de discos (en la versión 3.5 ya esta soportado sata). Es
realmente útil, ya que solamente ocupa 10 Mb de RAM y 55 de Disco Duro, aproximadamente... Para su
administración, hay que instalar un software en una máquina remota, que se conecta por entorno web.

En nuestro caso hemos optado por utilizar VMware Worksation; ya que cumple con los requerimientos que
necesitamos para poder llevar a cabo el proyecto sin problemas.

Características de WMware 6.x Workstation

Además de sus características de sus versiones anteriores, WMware 6.x, posee nuevas características y
aplicaciones con respecto a sus antecesoras:

Soporte para sistemas operativos de 32 bits y 64 bits: Microsoft Windows Server 2008 Standard,
Standard y Enterprise, CentOS 5.0-5.2, Oracle Enterprise Linux 5.0-5.2 como anfitrión y los sistemas
operativos invitados, Red Hat Enterprise Linux 4, Update 7 (Workstation, Enterprise Server y Advanced
Server), como anfitrión y los sistemas operativos invitados, Ubuntu 8.04 LTS como anfitrión y los
sistemas operativos invitados, Solaris 10 para plataformas x86, 10 5 / 08 (actualización 5), como un
sistema operativo invitado, etc.
Mayor rendimiento: En la red usando NAT, 25 % más rapidez en transferencia de archivos, etc.
Nueva versión en hardware virtual: Agregar o quitar algunos de los dispositivos virtuales, mientras la
máquina virtual está encendido (“conexión en caliente"), etc.
Aceleración de gráficos 3D en Windows XP invitado.
Soporte para múltiples monitor: Con un click, se hace el cambio rápido del monitor entre maquinas
virtuales
Soporte para nuevos dispositivos: ej.: Tarjetas inteligentes.
Facilidad de restaurar o compartir archivos entornos de prueba, la reducción de configuración
repetitivas y puesta en marcha del tiempo
Apoyo a núcleos virtualizados para Linux

7


CARACTERÍSTICAS DE UBUNTU
Ubuntu o Ubuntu Linux, es una distribución GNU/Linux basada en Debian GNU/Linux, cuyo nombre proviene
de la ideología sudafricana Ubuntu ("humanidad hacia otros")

Es software libre, (Open Source).

Este Sistema operativo se encuentra basado en la distribución
Debian.

Está disponible en 3 arquitecturas: Intel x86, AMD64, PowerPC
y sigUen preparándose otras distribuciones.

Los desarrolladores de Ubuntu se basan en gran medida en el
trabajo de las comunidades de Debian y GNOME, tanto en las
distribuciones de paquetes como en el entorno grafico
aunque también esta disponible en entorno KDE.

Las versiones estables se liberan cada 6 meses y se mantienen actualizadas en materia de seguridad
hasta 18 meses después de su lanzamiento, y continuamente se liberan actualizaciones de los distintos
paquetes que la componen.

La nomenclatura de las versiones no obedece principalmente a un orden de desarrollo, se compone del
digito del año de emisión y del mes en que esto ocurre. La versión 4.10 es de octubre de 2004, la 5.04
es de abril de 2005, la 5.10 de octubre de 2005 y la 6.06 es de junio de 2006.

El escritorio oficial es Gnome y se sincronizan con sus liberaciones.

Para centrarse en solucionar raudamente los bugs, conflictos de paquetes, etc. se decidió eliminar
ciertos paquetes del componente main, ya que no son populares o simplemente se escogieron de
forma arbitraria por gusto o sus bases de apoyo al software libre. Por tales motivos inicialmente KDE
no se encontraba con más soporte de lo que entregaban los mantenedores de Debian en sus
repositorios, razón por la que se sumó la comunidad de KDE distribuyendo una distribución llamada
Kubuntu.

El navegador web oficial es Mozilla Firefox.

El sistema incluye funciones avanzadas de seguridad y entre sus políticas se encuentra el no activar
procesos latentes por omisión al momento de instalarse. Por eso mismo, no hay un firewall
predeterminado, ya que no existen servicios que puedan atentar a la seguridad del sistema.

Para labores/tareas administrativas incluye una herramienta llamada sudo (similar al Mac OS X), con la
que se evita el uso del usuario root , pues ya no es tan necesario el uso del terminal relegado a usuarios
avanzados.

8


Mejorar la accesibilidad y la internacionalización, de modo que el software esté disponible para tanta
gente como sea posible. En la versión 5.04, el UTF-8 es la codificación de caracteres por defecto,
soportado por una gran comunidad de traductores.

No sólo tiene como lazo a Debian el uso del mismo formato de paquetes deb, Ubuntu tiene uniones
muy fuertes con esa comunidad, contribuyendo cualquier cambio directamente e inmediatamente,
más que anunciándolos. Esto sucede en los tiempos de lanzamiento. Muchos de los desarrolladores de
Ubuntu son también responsables de los paquetes importantes dentro de la distribución de Debian.

Todos los lanzamientos de Ubuntu se proporcionan sin costo alguno. Los CDs de la distribución se
envían de forma gratuita a cualquier persona que los solicite. También es posible descargar las
imágenes ISO de los discos por transferencia directa o bajo la tecnología Bittorrent.

Ubuntu no cobra honorarios por la suscripción de las mejoras de la "Edición Enterprise".

¿PORQUÉ USAR UBUNTU SOBRE OTRAS DISTRIBUCIONES DE LINUX?
Se decidió usar Ubuntu debido a que es una de las distribuciones más famosas de Linux, cuenta con numerosas
fuentes de información en varios idiomas, además de poseer con una interfaz gráfica amigable, aunque, más
allá de esos aspectos, los scripts utilizados son validos en cualquier versión de Linux.

¿CÓMO INSTALAR UBUNTU EN VMWARE?
Primero se debe contar con el programa VMWARE y una distribución de Linux, en este caso se usara la versión
7.1 de Ubuntu.

1. Como primer paso, en la ventana principal de VMWARE seleccionamos la opción “New Virtual
Machine”

9


2. Aparecerá un asistente para la creación de la maquina virtual que queremos, seleccionamos la opción
“Typical” y damos click en “next”

3. En la siguiente ventana nos preguntara la fuente desde la que se instalara el sistema operativo, la cual
puede ser desde un disco o una imagen iso, seleccionamos la que nos interese y damos click en “next”

4. Colocamos un usuario y una contraseña para el sistema operativo que vamos a instalar

10


5. Seleccionamos un nombre para nuestra maquina virtual y su ubicación dentro de nuestra maquina

6. Seleccionamos la capacidad de nuestro disco duro virtual y damos click en “next”

7. Se revisan todos los datos de la configuración y si son correctos se aceptan

11


8. Nos aparece una ventana en la que se muestran los detalles de la maquina virtual que acabamos de
crear

9Finalmente, para instalar el sistema operativo, seleccionamos la opción “Power On”, aparecerá otra
ventana e instalamos el sistema operativo de manera usual

12


CONFIGURACIONES DE LAS 5 COMPUTADORAS Y LA MÁQUINA QUE
ACTUARÁ COMO NAT

MÁQUINAS QUE FORMARÁN PARTE DE LA RED LAN

A continuación se presentan las configuraciones para las cinco computadoras que formarán parte de nuestra
red LAN; las características que éstas poseen son:

Hardware
Procesador genérico de un solo núcleo
200 MB de memoria RAM
17 GB de disco duro
1 unidad de CD-ROM
1 tarjeta de red genérica 10/100 BASE-T
3 puertos USB 2.0
Adaptador de sonido genérico

Software
Sistema operativo Ubuntu 7.1 de 32 bits
VMware Tools 6.0

El proceso realizado para poder crear cada una de las máquinas virtuales con su respectivo sistema operativo,
fue establecer la configuración de una sola máquina virtual, colocarle los parámetros de memoria RAM,
cantidad de disco duro y sobre todo el modo en que trabajaría la tarjeta de red. Para configurar las tarjetas de
red de los equipos tenemos 4 posibilidades:

1. Bridged: De esta forma se le asigna a la tarjeta de red de la máquina virtual una IP real visible desde
toda la red real.
2. NAT: La máquina real actuará como router NAT convirtiendo las direcciones internas en direcciones
compatibles con el resto de nuestra red real.
3. Host-only : se crea una red privada entre el ordenador real y la máquina virtual
4. Custom : Permite realizar una configuración a medida utilizando las redes virtuales disponibles
(VMnet1….VMnet9).

En nuestro caso las cinco computadoras fueron configuradas con el modo BRIDGED, para que fuesen
totalmente independientes a la máquina real y con ello poder tratarlas como únicas.

Tras haber creado una máquina virtual, utilizamos la opción de “clonar”, misma que permite reproducir una
copia idéntica de una máquina virtual; ahorrándonos tiempo en la creación y configuración de las máquinas
restantes.

13


El tiempo que nos llevó poder crear las cinco máquinas y las configuraciones respectivas fue aproximadamente
de 2.5 horas.

Las cinco computadoras poseen la misma configuración; los nombres que se les asignaron a éstas son:
m1
m2
m4
m5
m6

Es importante aclarar el nombre que tienen cada una de las máquinas, ya que en adelante se hará referencia a
ellas bajo esta designación.

A continuación se presentan una serie de imágenes donde se puede apreciar la configuración que posee cada
máquina virtual, las características que tiene y sobre todo la designación con la que distinguimos una máquina
de otro.

14


15


MAQUINA QUE ACTUARÁ COMO NAT

La configuración que se tiene en la máquina que actuará como NAT, es un tanto diferente a la
configuración para las máquinas de la red LAN; ya que en esta máquina se tienen dos tarjetas de red;
una de ellas tendrá conexión directamente con el proveedor de servicios de Internet y la otra con la
red LAN formada por cinco máquinas, misma que se presentó anteriormente.

Hardware
Procesador genérico de un solo núcleo
300 MB de memoria RAM
17 GB de disco duro
1 unidad de CD-ROM
2 tarjetas de red genéricas 10/100 BASE-T
3 puertos USB 2.0
Adaptador de sonido genérico

Software
Sistema operativo Ubuntu 7.1 de 32 bits
VMware Tools 6.0

El proceso que se llevó a cabo para poder crear dicha máquina virtual es exactamente igual al que se
siguió para crear las máquinas que formarían parte de la red LAN; con la peculiaridad de que la
cantidad de memoria RAM es distinta y sobre todo que se agregó una tarjeta de red adicional.

El modo en el que van a trabajar ambas tarjetas de red será BRIDGED.

El nombre que posee la máquina que actuará como NAT es: m_nat.

Una cuestión que es importante recalcar es que para poder obtener un funcionamiento adecuado de
las tarjetas de red virtuales que posee nuestras máquinas es importante hacer una asociación
correcta entre la tarjeta de red real que poseemos y las diferentes tarjetas de redes virtuales; ya que
en ocasiones VMware asocia la tarjeta de red inalámbrica, o el bluetooth en lugar de la tarjeta de red
10/100 BASE-T que tenemos en nuestra computadora real.

Para ello es importante seguir los pasos que a continuación se enuncian.

1. Seleccionar la pestaña Hosts Virtual Network Mapping.

2. Hacer clic en una de las redes virtuales configuradas en modo Bridged, que por default es
VMnet0.

16


3. Después seleccionaremos el botón que aparece a la derecha de VMnet0 y en el menú que
aparece seleccionaremos el dispositivo de red que queremos asociar a las tarjetas de red
virtuales

4. Finalmente hacemos clic en el botón de “aceptar”.

Si no realizamos los pasos que anterior mente se han descrito, corremos el riesgo de que las
diferentes tarjetas virtuales estén asociadas a un dispositivo erróneo.

A continuación se presentó imagen con las características que posee la máquina que actuará como
NAT.

17


CUESTIONES IMPORTANTES PARA PODER CREAR LA RED LAN

Para poder identificar de manera clara las cinco máquinas virtuales que formarán parte de la red LAN se les
colocó un papel tapiz distinto; ya que así es más fácil saber con qué máquina estamos trabajando. A
continuación se presentan las cinco máquinas virtuales con su respectivo papel tapiz y sobre todo el nombre
que tienen asociado.

18


Para poder crear la red local (LAN), se hizo uso del switch virtual que nos proporciona VMware; por default al
colocar las tarjetas de red en modo BRIDGED, todas las máquinas virtuales estarán interconectadas entre sí
mediante un dispositivo de capa 2; es decir un switch.

Para poder comprobar esto se ejecutara el comando PING; hacia cada una de las máquinas virtuales.
A continuación se presentan los resultados obtenidos al ejecutar dicho comando en las máquinas m1, m2, m4,
m5, m6.
La ejecución del comando PING desde la máquina que actuará como NAT se presenta como un vídeo mismo
que se encuentra contenido en el CD-ROM que forma parte del presente proyecto.

Las direcciones IP que tienen asignadas las máquinas virtuales para poder realizar las pruebas de conectividad
son:
m1 192.168.85.1
m2 192.168.85.2
m4 192.168.85.4
m5 192.168.85.5
m6 192.168.85.6
m_nat 192.168.85.12

Para poder asignar cada una de estas direcciones a su máquina correspondiente se deben de ejecutar ciertas
líneas en una terminal; dicho proceso por el momento no se mostrará ya que más adelante se presentará a
detalle como es que debe llevarse a cabo; el objetivo principal de esta apartado es mostrar cómo se
encuentran conectadas las diferentes máquinas mediante un switch y presenta las drogas de conectividad
pertinentes.

Esa imagen nos muestra cómo tenemos activas las seis máquinas virtuales.

A continuación sólo se presentan las evidencias de las pruebas de conectividad desde la máquina unos la
máquina seis.
Importante: las evidencias de las pruebas de conectividad desde las otras maquinas se encuentran en el CD-
ROM adjunto a este trabajo escrito.

19


Desde la maquina 1 hacia las otras maquinas

20


Desde la máquina 6 hacia las otras maquinas

21


CUESTIONES PRELIMINARES
Es importante recalcar algunas cuestiones que son de importancia para poder entender el desarrollo del
proyecto.

Tal como se presentó en la parte introductoria existen varios tipos de NAT, en nuestro caso hemos elegido la
configuración que se lleva a cabo cuando la dirección IP que nos proporciona nuestro proveedor de servicios de
Internet es asignada mediante DHCP; ya que ésta es la forma en la que TELMEX nos facilita dicha dirección.

Con respecto al rango de direcciones asignado para poder llevar a cabo el proyecto fue:

192.168.81.XXX – 192.168.90.XXX

22


PRIMERA PARTE DEL PROYECTO: ENMASCARAMIENTO DE TODA LA
SUBRED EN UNA SOLA LÍNEA

A continuación se presenta un diagrama que nos ejemplifica las configuraciones y conexiones que vamos a
realizar para esta primera parte del proyecto; como se puede notar tenemos un switch en el que se encuentran
las conexiones de las máquinas que forman la red LAN, la conexión de una de las tarjetas de red de la máquina
que actuará como NAT se encuentra con la red LAN y la conexión de la otra tarjeta de red de la máquina NAT
está con el proveedor de servicios de Internet. También se puede apreciar las direcciones IP que tendrán
asignadas cada una de las maquinas.

Para llevar a cabo las configuraciones pertinentes, se harán a través de línea de comandos.
Los pasos que seguiremos serán:

•asignar
paso 2 •asignar
paso 4
dirección IP •asignar gateway •asignar
máscara de DNS´s
red
paso 1 paso 3

23


El presente diagrama nos da un bosquejo general de los parámetros y los valores que han de tener éstos.

24


Configuraciones en la máquina 1 (m1)

Para poder colocar los parámetros dirección IP, máscara de red y Gateway, abrimos una terminal y colocamos
la siguiente línea:
vi /etc/network/interfaces
Esta línea nos permitirá editar el archivo correspondiente a los parámetros que deseamos configurar.

En este momento nos encontramos en el editor VI, y colocamos las siguientes líneas:1
iface eth1 inet static
address 192.168.85.1
netmask 255.255.255.0
gateway 192.168.85.12
auto eth1
La primera línea indica cómo se llama la tarjeta de red y sobre todo muestra que la dirección que le vamos a
asignar será estática. Por default la dirección que tiene la NIC es asignada por DHCP; aquí también es
importante notar que ya nos aparece el nombre de la tarjeta de red (eth1), por ello no necesitamos
averiguarlo, simplemente utilizarlo.
La segunda línea sirve para poder asignar una dirección IP.
La tercera línea nos indica la máscara de subred que tendrá asignada.
Posteriormente colocamos la dirección de la puerta de enlace y en la última línea cerramos con el nombre de la
NIC.

Para poder guardar los cambios en el archivo escribimos
:wq

Si queremos salir sin guardar los cambios escribimos
:q!

Tras realizar la configuración pertinente, debemos reiniciar los servicios de red; para ello ejecutamos la
siguiente línea:
/etc/init.d/networking restart

Para poder comprobar que los parámetros se han guardado adecuadamente, ejecutamos:
ifconfig2

1
En el archivo de configuración, la primera interfaz que aparece es la de loopback. Ésta, aunque no es necesaria para conectarnos a la
red, sí se utiliza para hacer pruebas de conectividad y para identificar al host/equipo. Dicha interfaz viene configurada por defecto en el
proceso de instalación y para que se levante automáticamente cuando enciende la máquina.
2
ifconfig es un programa disponible en varias versiones del sistema operativo UNIX, que permite configurar o desplegar numerosos
parámetros de las interfaces de redes, como la dirección IP (dinámica o estática), o la máscara de red. Si se llama sin argumentos suele
mostrar la configuración vigente de las interfaces de red activas, con detalles como la dirección MAC o el tráfico que ha circulado por las
mismas hasta el momento.

25




En este momento nos encontramos en el editor VI, y colocamos las siguientes líneas:
address 192.168.85.2
netmask 255.255.255.0
gateway 192.168.85.12
auto eth1
NIC.

:wq

:q!

siguiente línea:

ifconfig

Y si aparecen los parámetros que acabamos de escribir ya tenemos lista la configuración la tarjeta de red de la
maquina 2 (m2).

26




address 192.168.85.4
netmask 255.255.255.0
gateway 192.168.85.12
auto eth1
NIC.

:wq

:q!

siguiente línea:

ifconfig

maquina 4 (m4).

27




address 192.168.85.5
netmask 255.255.255.0
gateway 192.168.85.12
auto eth1
NIC.

:wq

:q!

siguiente línea:

ifconfig

maquina 5 (m5).

28




address 192.168.85.6
netmask 255.255.255.0
gateway 192.168.85.12
auto eth1
NIC.

:wq

:q!

siguiente línea:

ifconfig

maquina 6 (m6).

29


Configuración de los DNS’s

La configuración de los DNS se debe de realizar en:
m1
m2
m4
m5
m6
m_nat

Para poder asignar las direcciones de los DNS’s3, debemos de editar el archivo que se presenta a continuación:
vi /etc/resolv.conf

En dicho archivo colocamos las direcciones DNS que nos proporciona el ISP; en nuestro caso son:
nameserver 192.168.1.254
Este dato debe ser consultado directamente con el proveedor de servicios de internet.

:wq

:q!

3
Un servidor DNS (Domain Name System) se utiliza para proveer a las computadoras de los usuarios (clientes) un nombre equivalente a
las direcciones IP. El uso de este servidor es transparente para los usuarios cuando éste está bien configurado.

Cada LAN (Red de área local) debería contar con un servidor DNS. Estos servidores trabajan de forma jerárquica para intercambiar
información y obtener las direcciones IP de otras LANs.

30


Configuraciones en la máquina que funcionará como NAT

Al igual que en los seis casos anteriores debemos colocar los parámetros de dirección IP, puerta de enlace, etc.
Este caso es particular, ya que tenemos dos tarjetas de red; una de ellas tendrá una configuración similar a las
máquinas que integran la red LAN y la otra tarjeta de red con parámetros asociados con el proveedor de
servicios de Internet.


iface eth4 inet dhcp
auto eth4

address 192.168.85.12
netmask 255.255.255.0
auto eth3
Como se puede notar una de las tarjetas de red tiene una dirección IP estática perteneciente al mismo
segmento de aquellas computadoras que forman la red LAN, y la otra tarjeta de red tiene una dirección IP que
es asignada mediante DHCP.
Por el momento no colocaremos puerta de enlace, ya que la asociación de ésta se realizará con los comandos
de iptables.

:wq

:q!

siguiente línea:

ifconfig

31


Activar el bit de forward

Por defecto un equipo GNU/Linux no permite que se pasen paquetes entre sus interfaces de red, pero si
queremos que actúe como dispositivo de NAT tenemos que cambiar este comportamiento, activando lo que se
denomina bit de forward de alguna de las siguientes maneras:

Podemos utilizar sysctl, que permite configurar parámetros del kernel mientras se ejecuta:
sysctl net.ipv4.ip_forward=1

El método anterior no permanece tras un reinicio del equipo, para que este cambio se efectúe cada vez que se
arranca el equipo editamos el fichero /etc/sysctl.conf, buscamos la línea net.ipv4.ip_forward=1 y la
descomentamos.
De forma definitiva editar el archivo /etc/sysctl.conf

Borrando las configuraciones existentes

Ahora escribiremos las siguientes instrucciones para borrar todas las reglas de la tabla nat anteriores y poner
los contadores a cero:

iptables -t nat --flush
iptables --zero

Configurando NAT

Ahora colocaremos las instrucciones que nos permitirán configurar la traducción de direcciones de red de todo
el segmento. En nuestro caso el segmento es 192.168.85.0/24 (utilizando notación CIDR)
iptables --table nat --append POSTROUTING -s 192.168.85.0/24 --out-interface eth4 -j MASQUERADE

Si la dirección IP que nos proporciona el ISP fuera estática, en logar de escribir la línea anterior colocaríamos:
iptables --table nat --append POSTROUTING -s 192.168.85.0/24 --out-interface eth4 -j SNAT --to
XXX.XXX.XXX.XXX; donde esta dirección es la IP estática.

Posteriormente escribimos la siguiente línea:
iptables --append FORWARD --in-interface eth3 -j ACCEPT

La explicación de estos dos últimos comandos se presenta a continuación de manera gráfica.

32


Las configuraciones realizadas con anterioridad no son permanentes por qué únicamente tiene validez
mientras el sistema se encuentra activo, cuando éste se apague se borrarán.
Si deseamos restaurar las iptables en Ubuntu automáticamente debemos seguir los siguientes pasos.

Primero, tenemos que guardar la configuración de nuestras iptables en un archivo
iptables-save > /etc/iptables.reglas.up

Una vez guardadas, editamos el archivo /etc/network/interfaces, agregándole lo siguiente:
auto ethX
iface ethX inet dhcp
pre-up iptables-restore < /etc/iptables.reglas.up
Es importante hacer notar que debemos asociar nuestro archivo de iptables con la tarjeta de red asociada a la
conexión con el ISP; en nuestro caso es aquella que se le asigna la dirección de manera dinámica.

33


SEGUNDA PARTE DEL PROYECTO: ENMASCARAMIENTO MÁQUINA POR
MÁQUINA

La primer parte del proyecto consistió en enmascarar todo un segmento de red; es decir todas y cada una de
las computadoras que tuvieran una dirección IP en ese segmento, serían enmascaradas.

En esta segunda parte se pretende enmascarar dirección por dirección; haciéndolo en cinco máquinas.

Al igual que se hizo en la primer parte del proyecto, debemos configurar la dirección IP, la máscara de red y la
puerta de enlace para cada una de las cinco máquinas; el proceso es exactamente el mismo.
Debemos de editar el archivo (/etc/network/interfaces ) de cada una de las computadoras colocando los
parámetros tal como lo hicimos anteriormente, en este caso utilizaremos el segmento 87.

A continuación se presenta una tabla con las direcciones IP, las máscaras de subred correspondientes y las
puertas de enlace.

address netmask gateway
m1 192.168.87.1 255.255.255.0 192.168.87.12
m2 192.168.87.2 255.255.255.0 192.168.87.12
m4 192.168.87.4 255.255.255.0 192.168.87.12
m5 192.168.87.5 255.255.255.0 192.168.87.12
m6 192.168.87.6 255.255.255.0 192.168.87.12

34


35


Configuraciones en la máquina que funcionará como NAT

De igual manera que la primer parte del proyecto, la computadora que hace la traducción de direcciones de
red debe en una configuración especial, ya que tenemos dos tarjetas de red; una de ellas tendrá una
configuración similar a las máquinas que integran la red LAN y la otra tarjeta de red con parámetros asociados
con el proveedor de servicios de Internet.


iface eth4 inet dhcp
auto eth4

address 192.168.87.12
netmask 255.255.255.0
auto eth3
Como se puede notar una de las tarjetas de red tiene una dirección IP estática perteneciente al mismo
segmento de aquellas computadoras que forman la red LAN, y la otra tarjeta de red tiene una dirección IP que
es asignada mediante DHCP.
Por el momento no colocaremos puerta de enlace, ya que la asociación de ésta se realizará con los comandos
de iptables.

:wq

:q!

siguiente línea:

ifconfig

36


Activar el bit de forward

Por defecto un equipo GNU/Linux no permite que se pasen paquetes entre sus interfaces de red, pero si
queremos que actúe como dispositivo de NAT tenemos que cambiar este comportamiento, activando lo que se
denomina bit de forward de alguna de las siguientes maneras:

Podemos utilizar sysctl, que permite configurar parámetros del kernel mientras se ejecuta:
sysctl net.ipv4.ip_forward=1

El método anterior no permanece tras un reinicio del equipo, para que este cambio se efectúe cada vez que se
arranca el equipo editamos el fichero /etc/sysctl.conf, buscamos la línea net.ipv4.ip_forward=1 y la
descomentamos.
De forma definitiva editar el archivo /etc/sysctl.conf

Borrando las configuraciones existentes

Ahora escribiremos las siguientes instrucciones para borrar todas las reglas de la tabla nat anteriores y poner
los contadores a cero:

iptables -t nat --flush
iptables --zero

Configurando NAT

Ahora colocaremos las instrucciones que nos permitirán configurar la traducción de direcciones de red de cada
una de las máquinas.
iptables --table nat --append POSTROUTING -s 192.168.87.1 --out-interface eth4 -j MASQUERADE
Si la dirección IP que nos proporciona el ISP fuera estática, en logar de escribir la línea anterior colocaríamos:
iptables --table nat --append POSTROUTING -s 192.168.87.XXX --out-interface eth4 -j SNAT --to
XXX.XXX.XXX.XXX; donde esta dirección es la IP estática.

Posteriormente escribimos la siguiente línea:
iptables --append FORWARD --in-interface eth3 -j ACCEPT

37


La explicación de estos dos últimos comandos se presenta a continuación de manera gráfica.

Las configuraciones realizadas con anterioridad no son permanentes por qué únicamente tiene validez
mientras el sistema se encuentra activo, cuando éste se apague se borrarán.
Si deseamos restaurar las iptables en Ubuntu automáticamente debemos seguir los siguientes pasos.

Primero, tenemos que guardar la configuración de nuestras iptables en un archivo
iptables-save > /etc/iptables.reglas.up

Una vez guardadas, editamos el archivo /etc/network/interfaces, agregándole lo siguiente:
auto ethX
iface ethX inet dhcp
pre-up iptables-restore < /etc/iptables.reglas.up
Es importante hacer notar que debemos asociar nuestro archivo de iptables con la tarjeta de red asociada a la
conexión con el ISP; en nuestro caso es aquella que se le asigna la dirección de manera dinámica.

38


CONCLUSIONES

Tras haber realizado el proyecto de implementación de una NAT, aprendimos que la creación de una red de
este tipo nos ayuda a que una red privada con direcciones privadas pueda tener acceso a una dirección IP
proporcionada por un ISP y por consiguiente acceso a internet. Además, se estudió toda la configuración que se
requiere para que las direcciones IP privadas fueran mapeadas a otro dominio de direcciones.
También entendimos que para realizar esta red, se requiere de tres elementos fundamentales: Las maquinas a
tener acceso en red (conectadas en red privada), la NAT y la conexión a internet. Sin alguno de estos
elementos, no se podía llevar a cabo una red NAT.

El llevar a cabo este proyecto nos aportó grandes alicientes al conocimiento, ya que al realizar esta
implementación de la red, la hicimos desde cero y como no se contaba con un switch real y cinco máquinas
reales, se tenía que buscar un programa que pudiera realizar una virtualizacion de esas maquinas y que
además, estuvieran en red.
El encontrar e instalar el software no tuvo contratiempos, ni mucho menos el instalar cinco maquinas virtuales
conectadas en red.
La parte que nos llevó más tiempo, requirió una total atención y ardua investigación de los comandos, ya que
se requería a veces realizar un movimiento en la configuración de red y no se tenía el comando adecuado por
lo que se buscaba el pertinente para aplicarlo y seguir configurando. Ya con un tiempo de dedicación, se logró
construirla red y con ello configurar los detalles que se solicitaban.

Los aportes al realizar este primer proyecto de administración de redes han sido sin lugar a duda enormes y
sobre todo enriquecedores para nuestra formación como futuros ingenieros en Computación.

39


BIBLIOGRAFÍA Y MESOGRAFÌA

MER Douglas
Internetworking with TCP/IP volume 1 - 4ta edición
Editorial Prentice-Hall Inc.

COMER Douglas
Redes Globales de Información con Internet y TCP/IP - 3ra edición
Editorial Prentice-Hall Inc.

RFC 3022 – Traductor de Dirección de Red IP Tradicional (NAT Tradicional), RFC 2663 – Terminología y
consideraciones sobre Traducción de Direcciones IP
Página: http://www.rfc-es.org/getfile.php?rfc=3022

http://redes-linux.all-inone.net/rfc-es/rfc2663-es.txt
http://studies.ac.upc.edu/FIB/XC/XC-Lab-7-NAT.pdf última revisión 16 / II / 2005
http://www.astic.es/Asociacion/DetallesBoletic/Documents/Boletic40/tecnologia/tecno_1.pdf
http://www.ens-tech.com/blog/
http://www.netfilter.org
http://www.scribd.com/doc/2437126/Maquinas-Virtuales?autodown=pdf
http://www.vmware.com/es/overview/

40

Implementacion de NAT - JUGM 2010

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (15)

Similaire à Implementacion de NAT - JUGM 2010

Similaire à Implementacion de NAT - JUGM 2010 (20)

Plus de J. Ulises Gonzalez Medina

Plus de J. Ulises Gonzalez Medina (6)

Dernier

Dernier (20)

Implementacion de NAT - JUGM 2010