-Concepto de cada uno, para que sirve.
-Diferencias.
-Tipos de Nat, tipos de Proxy.
-Casos de uso.
-Modo de configuración en cliente.
-Modo de configuración en el servidor.
1)
NAT: Internet en sus inicios no fue pensado para ser una red
tan extensa, por ese motivo se reservaron “sólo” 32 bits para direcciones, el
equivalente a 4.294.967.296 direcciones únicas, pero el hecho es que el número
de máquinas conectadas a Internet aumentó exponencialmente y las direcciones IP
se agotaban. Por ello surgió la
NAT o Network Address Translation (en castellano, Traducción
de Direcciones de Red)
La idea es sencilla, hacer que redes de ordenadores utilicen
un rango de direcciones especiales (IP’s privadas) y se conecten a Internet
usando una única dirección IP (IP pública). Gracias a este “parche”, las
grandes empresas sólo utilizarían una dirección IP y no tantas como máquinas
hubiese en dicha empresa. También se utiliza para conectar redes domésticas a
Internet.
Qué es un servidor proxy?
Un servidor proxy es un equipo que actúa de intermediario
entre un explorador web (como Internet Explorer) e Internet. Los servidores
proxy ayudan a mejorar el rendimiento en Internet ya que almacenan una copia de
las páginas web más utilizadas. Cuando un explorador solicita una página web
almacenada en la colección (su caché) del servidor proxy, el servidor proxy la
proporciona, lo que resulta más rápido que consultar la Web. Los servidores proxy
también ayudan a mejorar la seguridad, ya que filtran algunos contenidos web y
software malintencionado.
Los servidores proxy se utilizan a menudo en redes de
organizaciones y compañías. Normalmente, las personas que se conectan a
Internet desde casa no usan un servidor proxy.
2) ¿Qué diferencia existe entre NAT y Proxy?
NAT 'Network Address Translation' o IP Masquerade es
utilizado comúnmente cuando se requiere conectividad de una LAN a Internet pero
solo se tiene acceso a una sola dirección IP de Internet.
El proxy es exactamente lo mismo, la nat es la dirección
física que sale a internet de una intranet la cual es solamente 1. Por ej. Una
Red de 8 Pc´s y 1 servidor, los 8Pc´s solo tendrían una ip para la red interna
mientras que el server tendría dos ip´s. La ip de la red interna y la ip de
acceso a internet (la dirección ip externa del servidor proxy seria la NAT), por la cual a traves de
un puente (proxy)entre la tarjeta de red de la red interna y la tarjeta de red
de internet, que da acceso a los demás pc´s a internet. Espero que te sea útil.
Saludos Shoke.
3) ¿Cómo funciona?
En la NAT
existen varios tipos de funcionamiento:
Estática
Una dirección IP privada se traduce siempre en una misma
dirección IP pública. Este modo de funcionamiento permitiría a un host dentro
de la red ser visible desde Internet. (Ver imagen anterior)
Dinámica
El router tiene asignadas varias direcciones IP públicas, de
modo que cada dirección IP privada se mapea usando una de las direcciones IP
públicas que el router tiene asignadas, de modo que a cada dirección IP privada
le corresponde al menos una dirección IP pública.
Cada vez que un host requiera una conexión a Internet, el
router le asignará una dirección IP pública que no esté siendo utilizada. En
esta ocasión se aumenta la seguridad ya que dificulta que un host externo
ingrese a la red ya que las direcciones IP públicas van cambiando.
Sobrecarga
La NAT
con sobrecarga o PAT (Port Address Translation) es el más común de todos los
tipos, ya que es el utilizado en los hogares. Se pueden mapear múltiples
direcciones IP privadas a través de una dirección IP pública, con lo que
evitamos contratar más de una dirección IP pública. Además delahorro económico,
también se ahorran direcciones IPv4, ya que aunque la subred tenga muchas
máquinas, todas salen a Internet a través de una misma dirección IP pública.
Para poder hacer esto el router hace uso de los puertos. En
los protocolos TCP y UDP se disponen de 65.536 puertos para establecer
conexiones. De modo que cuando una máquina quiere establecer una conexión, el
router guarda su IP privada y el puerto de origen y los asocia a la IP pública y un puerto al azar.
Cuando llega información a este puerto elegido al azar, el router comprueba la
tabla y lo reenvía a la IP
privada y puerto que correspondan.
Cuando una dirección IP privada de una red es una dirección
IP pública en uso, el router se encarga de reemplazar dicha dirección IP por
otra para evitar el conflicto de direcciones.
Tipos de proxy:
DNS: son las siglas de Domain Name System. Es un sistema por
el que se asocia una información con un nombre de dominio. El ejemplo más claro
es cuando introducimos una ruta url en nuestro navegador de internet del
tipohttp://www.aprenderaprogramar.com. Una vez hemos introducido esta ruta,
dicha información es enviada a un servidor DNS que lo que hace es determinar en
qué lugar se encuentra esa página web alojada y nos conecta con ella.
WEB: el término web va asociado a internet, donde los
usuarios utilizan sus navegadores web para visitar sitios web, que básicamente
se componen de páginas web donde los usuarios pueden acceder a informaciones
con texto, videos, imágenes, etc y navegan a través de enlaces o hipervínculos
a otras webs.
FTP: acrónimo de File Transfer Protocol o Protocolo de
transferencia de archivos. Es un protocolo utilizado para la transferencia de
archivos entre un cliente y un servidor, permitiendo al cliente descargar el
archivo desde el servidor o al servidor recibir un archivo enviado desde un
cliente. Por defecto FTP no lleva ningún tipo de encriptación permitiendo la
máxima velocidad en la transferencia de los archivos, pero puede presentar
problemas de seguridad, por lo que muchas veces se utiliza SFTP que permite un
servicio de seguridad encriptada.
Dedicación: normalmente al ser los servidores equipos más
potentes y por tanto más caros, se suelen compartir entre varias personas o
empresas, permitiéndoles a todos tener un servicio de gran calidad y a un
mínimo precio. En este caso se dice que se trata de un servidor compartido.
Pero en otros casos puede haber servidores dedicados exclusivamente a una sola
persona o empresa si esta puede hacer frente al gasto económico que supone. En
este caso se dice que el servidor es “dedicado”.
POP3 y SMTP: hay servidores especializados en correos
electrónicos o e-mails. Estos utilizan los protocolos POP3 y SMTP para recibir
los correos de nuestro servidor en nuestro cliente, o para enviar desde nuestro
cliente un correo al servidor de otro cliente. Aunque hay diversos tipos de
protocolos estos son los más utilizados. Un protocolo no es otra cosa que “una
forma de hacer algo”.
DHCP y TCP/IP: cuando un cliente se conecta a un servidor,
éste tiene que identificar a cada cliente y lo hace con una dirección IP. Es
decir, cuando desde casa entramos en una página web estamos identificados por
una serie de dígitos que son nuestra IP. Esta dirección ip son 4 pares de
números y es única para cada cliente. Así el protocolo TCP/IP permite que
cuando nos conectamos a internet se nos asigne una dirección IP que nos
identifica. Cada ordenador conectado a internet tiene su dirección IP, aunque
en el caso de usuarios de una empresa que da acceso a internet como
“Telefónica”, varios usuarios de la empresa pueden tener la misma IP porque
utilizan un mismo servidor para canalizar sus peticiones en internet. Por otro
lado, DHCP es un protocolo de asignación dinámica de host que permite asignar
una ip dinámicamente a cada cliente cuando este se conecta con el servidor que
le da acceso a internet. Esto significa que si nos conectamos el lunes a
internet, nuestra IP, que nos asigna Telefónica, puede ser 82.78.12.52. En
cambio, si nos conectamos el jueves nuestra IP podría ser 212.15.23.88. ¿Por
qué cambia nuestra IP? Porque la empresa que nos da conexión nos asigna una de
sus IPs disponibles. En cambio, los servidores al ser máquinas más potentes e
importantes suelen tener una IP fija.
4)
Posibles usos Proxy:
Los proxys web pueden aportar una serie de funcionalidades
interesantes en distintos ámbitos:
Reducción del tráfico mediante la implementación de caché en
el proxy. Las peticiones de páginas Web se hacen al servidor Proxy y no a
Internet directamente. Por lo tanto se aligera el tráfico en la red y descarga
los servidores destino, a los que llegan menos peticiones.
El caché utiliza normalmente un algoritmo configurable para
determinar cuándo un documento está obsoleto y debe ser eliminado de la caché.
Como parámetros de configuración utiliza la antigüedad, tamaño e histórico de
acceso. Dos de esos algoritmos básicos son el LRU (el usado menos
recientemente, en inglés "Least Recently Used") y el LFU (el usado
menos frecuentemente, "Least Frequently Used").
Mejora de la velocidad en tiempo de respuesta mediante la
implementación de caché en el proxy. El servidor Proxy crea un caché que evita
transferencias idénticas de la información entre servidores durante un tiempo
(configurado por el administrador) así que el usuario recibe una respuesta más
rápida. Por ejemplo supongamos que tenemos un ISP que tiene un servidor Proxy
con caché. Si un cliente de ese ISP manda una petición por ejemplo a Google
esta llegará al servidor Proxy que tiene este ISP y no irá directamente a la
dirección IP del dominio de Google. Esta página concreta suele ser muy
solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene
en su Proxy por un cierto tiempo y crea una respuesta en mucho menor tiempo.
Cuando el usuario crea una búsqueda en Google el servidor Proxy ya no es
utilizado; el ISP envía su petición y el cliente recibe su respuesta ahora sí
desde Google.
Los programas P2P se pueden aprovechar de la cache
proporcionada por algunos proxys. Es el llamado Webcaché. Por ejemplo es usado
en Lphant y algunos Mods del Emule.
El proxy puede servir para implementar funciones de filtrado
de contenidos. Para ello es necesaria la configuración de una serie de
restricciones que indiquen lo que no se permite. Observar que esta
funcionalidad puede ser aprovechada no sólo para que ciertos usuarios no
accedan a ciertos contenidos sino también para filtrar ciertos ficheros que se
pueden considerar como peligrosos como pueden ser virus y otros contenidos
hostiles servidos por servidores web remotos.
Un proxy puede permitir esconder al servidor web la
identidad del que solicita cierto contenido. El servidor web lo único que
detecta es que la ip del proxy solicita cierto contenido. Sin embargo no puede
determinar la ip origen de la petición. Además, si se usa una caché, puede
darse el caso de que el contenido sea accedido muchas más veces que las
detectadas por el servidor web que aloja ese contenido.
Los proxys pueden ser aprovechados para dar un servicio web
a una demanda de usuarios superior a la que sería posible sin ellos.
El servidor proxy puede modificar los contenidos que sirven
los servidores web originales. Puede haber diferentes motivaciones para hacer
esto. Veamos algunos ejemplos:
Algunos proxys pueden cambiar el formato de las páginas web
para un propósito o una audiencia específicos (Ej. mostrar una página en un
teléfono móvil o una PDA) traduciendo los contenidos.
Hay proxys que modifican el tráfico web para mejorar la
privacidad del tráfico web con el servidor. Para ello se establecen unas reglas
que el proxy tiene que cumplir. Por ejemplo el proxy puede ser configurado para
bloquear direcciones y Cookies, para modificar cabeceras de las peticiones o
quitar javascript que se considere peligroso.
Es frecuente el uso de este tipo de proxys en las propias
máquinas de los usuarios (proxys locales) para implementar un paso intermedio y
que las peticiones no sean liberadas/recibidas a/de la red sin haber sido
previamente limpiadas de información o contenido peligroso o privado. Este tipo
de proxys es típico en entornos donde hay mucha preocupación sobre la
privacidad y se suele usar como paso previo a la petición del contenido a
través de una red que persiga el anonimato como puede ser Tor. Los programas
más frecuentes para hacer este tipo de funcionalidad son:
Privoxy: Se centra en el contenido web. No presta servicio
de cache. Analiza el tráfico basándose en reglas predefinidas que se asocian a
direcciones especificadas con expresiones regulares y que aplica a cabeceras,
contenido, etc. Es altamente configurable. Tiene extensa documentación.
Polipo: Tiene características que lo hacen más rápido que
privoxy (cacheo, pipeline, uso inteligente de rango de peticiones). Su
desventaja es que no viene configurado por defecto para proveer anonimicidad a
nivel de la capa de aplicación.
El servidor proxy proporciona un punto desde el que se puede
gestionar de forma centralizada el tráfico web de muchos usuarios. Eso puede
aprovecharse para muchas funciones adicionales a las típicas vistas
anteriormente. Por ejemplo puede usarse para el establecimiento de controlar el
tráfico de web de individuos concretos, establecer cómo se va a llegar a los
servidores web de los cuales se quiere obtener los contenidos (por ejemplo, el
proxy puede configurarse para que en lugar de obtener los contenidos
directamente, lo haga a través de la red Tor).
Nat:
Su uso más común es permitir utilizar direcciones privadas
(definidas en el RFC 1918) para acceder a Internet. Existen rangos de
direcciones privadas que pueden usarse libremente y en la cantidad que se
quiera dentro de una red privada. Si el número de direcciones privadas es muy
grande puede usarse solo una parte de direcciones públicas para salir a
Internet desde la red privada. De esta manera simultáneamente sólo pueden salir
a Internet con una dirección IP tantos equipos como direcciones públicas se hayan
contratado. Esto es necesario debido al progresivo agotamiento de las
direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario
continuar con esta práctica.
5)
CONFIGURACIÓN DE LOS PROGRAMAS CLIENTES MÁS COMUNES
Internet Explorer 5.0
La configuración del browser de Microsoft Internet Explorer
es muy similar a la de Netscape. Basta con seguir las instrucciones que
aparecen a continuación:
1.En la pantalla principal se selecciona la opción
Herramientas/Opciones de Internet.
2.En la solapa Conexión entrar en Configuración LAN.
3.En la ventana de Configuración LAN picar según la figura
que sigue:
Como se ve es introduciendo la dirección IP del ordenador
que alberga el programa proxy (server) 192.168.0.1. Si está activado el
servicio Socks, sólo necesitarás introducir la dirección del proxy y el puerto
en los campos HTTP y Socks. El puerto HTTP está en esta figura en el 8080, pero
varía según el proxy que se esté utilizando, el más frecuente es el puerto 80
para el HTTP.
El cliente se configura igual que el server.
Ejemplo de Configuración
En esta sección del artículo, se indicará la forma básica(s)
de la configuración de un NAT en un router. Los pasos usados en esta sección
siguen la forma de programar un servidor NAT en un router Cisco.
Conseguir un router real podría no ser fácil para llevar a
cabo esta experiencia, sin embargo, puede optar por utilizar un simulador de
router real, como el CiscoPacket Tracer. Eso supone que en esta muestra,
contamos con 3 routers, un Switch y tres computadores.
NAT con sobrecarga (conexiones del equipo desde Internet a
la red con ip's privadas)
Conecte los dispositivos entre sí por los puertos adecuados
en cada caso (ethernet, ATM, Serial, etc.)
Asumimos que usted sabe enrutamiento IP y cómo hacer
converger la red usando protocolo de enrutamientos. RIP se recomienda para
configuraciones más sencillas y rápidas.
Parametrizaciones del ejemplo:
El puerto conectado a internet es el Ethernet0
El puerto conectado a la red LAN es el Ethernet1
El rango IP de la
LAN es 192.168.1.0 con máscara 255.255.255.0 y wildmask
0.0.0.255
La lista de accesos se llamará INTERNET
PAT:Orientando puerto de Http 80 sobre máquina 192.168.0.1
puerto 8080
Router(config)#ip
nat inside source list INTERNET interface Dialer0 overload
Router(config)#ip
access-list standard INTERNET
Router(config)#permit
192.168.1.0 0.0.0.255
Router(config)#deny any
Asociación de interfaces (puertos) al NAT
Router(config)#interface
ethernet0
Router(config)#ip
nat outside
Router(config)#interface
ethernet1
Router(config)#ip
nat inside
Implementación
del PAT
Router(config)#ip
nat inside source static tcp 192.168.0.1 8080 interface ethernet0 80
6)Cómo configurar un servidor NAT de Enrutamiento y acceso
remoto
Cuando los clientes de red internos envían una solicitud
para Internet, el controlador del protocolo NAT la intercepta y la reenvía al
servidor Internet de destino. Todas las solicitudes parecen venir de la
dirección IP externa del servidor NAT. Este proceso oculta el esquema de
direcciones IP internas.
Para configurar un servidor NAT de Enrutamiento y acceso
remoto:
En el menú Herramientas administrativas, haga clic en
Enrutamiento y acceso remoto.
En la
MMC Enrutamiento y acceso remoto, expanda nombre_servidor
(que es el nombre del servidor que desea configurar) y, después, expanda
Enrutamiento IP en el panel izquierdo.
Haga clic con el botón secundario mouse (ratón) en el nodo
General y, a continuación, haga clic en Protocolo de enrutamiento nuevo.
Active la casilla de verificación Servidor de seguridad
básico NAT y, después, haga clic en Aceptar.
Haga clic con el botón secundario del mouse en Servidor de
seguridad básico NAT en el panel izquierdo y, a continuación, haga clic en
Interfaz nueva.
Haga clic en la interfaz que representa la interfaz de red
interna y haga clic en Aceptar.
En Propiedades de Traducción de direcciones de red, haga
clic en Interfaz privada conectada a red privada y, a continuación, haga clic
en Aceptar.
Haga clic con el botón secundario del mouse en Servidor de
seguridad básico NAT en el panel izquierdo y, a continuación, haga clic en
Interfaz nueva.
Haga clic en la interfaz que representa la interfaz de red
externa y haga clic en Aceptar.
En Propiedades de Traducción de direcciones de red, haga
clic en Interfaz pública conectada a Internet.
Active la casilla de verificación Habilitar NAT en esta
interfaz y, después, haga clic en Aceptar.
El servidor NAT puede asignar automáticamente direcciones IP
a los clientes de red internos. Puede utilizar esta función si no tiene un
servidor DHCP que ya esté asignando información de direcciones a los clientes
de la red interna.
Cómo configurar un servidor NAT de Enrutamiento y acceso
remoto para asignar direcciones IP y realizar consultas DNS de Proxy
El servidor NAT también pude realizar consultas del Sistema
de nombres de dominio (DNS) en nombre de los clientes NAT. El servidor NAT de
Enrutamiento y acceso remoto resuelve el nombre de host de Internet que se
incluye en la solicitud del cliente y, a continuación, le reenvía la dirección
IP.
Para configurar el servidor NAT de Enrutamiento y acceso
remoto para asignar direcciones IP y realizar consultas DNS de Proxy en nombre
de los clientes de red internos, siga estos pasos:
Haga clic con el botón secundario del mouse en Servidor de
seguridad básico NAT en el panel izquierdo y, a continuación, haga clic en
Propiedades.
Haga clic en la ficha Asignación de dirección y, después,
active la casilla de verificación Asignar direcciones IP automáticamente
utilizando el asignador DHCP.
En el cuadro Dirección IP, escriba un identificador de red.
En el cuadro Máscara, escriba una máscara de subred.
Haga clic en la ficha Resolución de nombres y, a
continuación, active la casilla de verificación Clientes que usan el Sistema de
nombres de dominio (DNS).
Si emplea una interfaz de marcado a petición para conectarse
a Internet, active la casilla de verificación Conectarse a la red pública
cuando sea necesario resolver un nombre.
En el cuadro Interfaz de marcado a petición, haga clic en la
interfaz con la que se va a marcar.
Haga clic en Aplicar y, después, haga clic en Aceptar.
NOTA: tras seguir estos pasos básicos de configuración, los
clientes de red internos pueden tener acceso a los servidores de Internet.
Cómo configurar un equipo basado en Windows Server 2003 para
que utilice un servidor NAT
Haga clic en Inicio, seleccione Panel de control, Conexiones
de red y haga clic en Conexión de área local.
Haga clic en Propiedades.
Haga clic en Protocolo Internet (TCP/IP).
Haga clic en Propiedades.
En el cuadro Puerta de enlace predeterminada, escriba la
dirección IP interna del servidor NAT.
NOTA: si su equipo recibe su dirección IP de un servidor con
el Protocolo de configuración dinámica de host (DHCP), haga clic sucesivamente
en la ficha Avanzadas, en la ficha Configuración IP, en Puerta de enlace, en
Agregar, escriba la dirección IP interna de su servidor NAT, haga clic en
Agregar, en Aceptar y, a continuación, continúe hasta el paso 6.
Haga clic en Aceptar, de nuevo en Aceptar y después en
Cerrar.