Configurar Firewall 1-to-1 NAT

Puede configurar 1-to-1 NAT para cualquier interfaz. Para una interfaz externa, la Base Real hace referencia a las direcciones IP reales (privadas) de hosts en su red, y la Base NAT se refiere a las direcciones IP públicas que quiere asociar con las direcciones privadas. Puede configurar un mapeo 1-to-1 NAT para una sola dirección IP, un rango de direcciones IP o una subred entera.

Agregar el Mapeo 1-to-1 NAT

  1. Seleccione Red > NAT.
    Aparece la página configuración de NAT.

Screen shot of the NAT settings page

  1. En la sección 1-to-1 NAT, haga clic en Agregar.
    Aparece la página Configuración 1-to-1 NAT.

Screen shot of the 1-to-1 NAT configuration page

  1. En la lista desplegable Tipo de Mapa, seleccione Una sola IP (para asignar un host), Rango de IP (para asignar un rango de hosts) o Subred de IP (para asignar una subred).

Si selecciona un Rango de IP, no especifique una subred o rango que incluya más de 254 direcciones IP. Si desea aplicar 1-to-1 NAT a más de 254 direcciones IP, debe crear más de una regla.

  1. Configure la Interfaz, Base NAT y las configuraciones de Base Real.

Para obtener más información, consulte la sección, Definir una Regla 1-to-1 NAT.

  1. Haga clic en Guardar.
  2. Agregue direcciones IP de NAT para las políticas adecuadas.
    • Para una política que administre las conexiones salientes, agregue las direcciones IP de Base Real a la sección Desde de la configuración de política.
    • Para una política que administre las conexiones entrantes, agregue las direcciones IP de Base NAT o de Base Real a la sección A de la configuración de política.

En Fireware v12.4 o superior, puede editar un mapeo 1-to-1 NAT en Fireware Web UI. Para editar un mapeo 1-to-1, seleccione el mapeo y haga clic en Editar.

  1. Seleccione Red > NAT.
    Aparece el cuadro de diálogo de configuración de NAT.
  2. Haga clic en la pestaña 1-to-1 NAT.

Screen shot of

  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar asignación 1-to-1.

Screen shot of the Add 1-to-1 Mapping dialog box

  1. En la lista desplegable Tipo de Mapa, seleccione Una Sola IP (para asignar un solo host), Rango de IP (para asignar un rango de hosts dentro de una subred) o Subred de IP (para asignar una subred).

Si selecciona Rango de IP, no especifique una subred o rango que incluya más de 254 direcciones IP. Si desea aplicar 1-to-1 NAT a más de 254 direcciones IP, debe crear más de una regla.

  1. En la sección Configuración, configure la Interfaz, Base NAT y las configuraciones de Base Real.

Para obtener más información, consulte la sección, Definir una Regla 1-to-1 NAT.

  1. Haga clic en Aceptar.
  2. Agregue direcciones IP de NAT para las políticas adecuadas.
    • Para una política que administre las conexiones salientes, agregue las direcciones IP de Base Real a la sección Desde de la configuración de política.
    • Para una política que administre las conexiones entrantes, agregue las direcciones IP de Base NAT o de Base Real a la sección A de la configuración de política.

Para editar un mapeo 1-to-1, seleccione el mapeo y haga clic en Editar.

Editar una Política para usar NAT

En el ejemplo Acerca de 1-to-1 NAT, se describe cómo 1-to-1 NAT puede proporcionar acceso a un servidor de correo electrónico. Para completar esta configuración, debe cambiar la configuración de política SMTP entrante para permitir conexiones desde la red externa a la dirección IP 203.0.113.11. También debe cambiar los ajustes de política SMTP saliente.

  1. Seleccione Firewall > Políticas de Firewall .
  2. Agregue una nueva política de SMTP entrante o modifique una política de SMTP entrante existente.
  3. En la política de SMTP, junto a la lista Desde, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Miembro.
  4. Seleccione el alias Cualquiera-Externo y haga clic en Aceptar.

Screen shot of the Add Member page

  1. Adyacente a la lista A, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Miembro.
  2. Seleccione Host IPv4 de la lista despegable e ingrese 203.0.113.11, que es la dirección IP base NAT en nuestro ejemplo.
    También puede especificar la dirección IP de base Real, que es 10.0.1.11 en nuestro ejemplo, en lugar de la dirección IP base NAT.

Screen shot of SMTP policy member page

  1. Haga clic en Aceptar.
    Aparece la página de la política SMTP.

Screen shot of inbound SMTP policy

  1. Para editar o crear una política SMTP saliente, repita los pasos del 1 al 7, pero especifique valores diferentes para los cuadros de texto Desde y A:
    • Desde — 10.0.1.11
    • A — Cualquiera externa

Screen shot of oubound SMTP policy

  1. Agregue una nueva política de SMTP entrante o modifique una política de SMTP entrante existente.
  2. Adyacente a la lista Desde, haga clic en Agregar.
  3. Seleccione el alias Cualquiera-Externo y haga clic en Aceptar.

Screen shot of Add Member page

  1. Adyacente a la lista A, haga clic en Agregar.
  2. Haga clic en Agregar otro.
    Aparece el cuadro de diálogo Agregar Miembro.
  3. Seleccione Host IPv4 de la lista despegable.
  4. En el cuadro de texto Valor, ingrese 203.0.113.11, que es la dirección IP de base NAT en nuestro ejemplo.
    También puede especificar la dirección IP de base Real, que es 10.0.1.11 en nuestro ejemplo, en lugar de la dirección IP base NAT.

Screen shot of Add Member page

  1. Haga clic en Aceptar dos veces.

Screen shot of inbound SMTP policy

  1. Para editar o crear una política SMTP saliente, repita los pasos del 1 al 8, pero especifique valores diferentes para los cuadros de texto Desde y A:
    • Desde — 10.0.1.11
    • A — Cualquiera externa

Definir una Regla 1-to-1 NAT

En cada regla 1-to-1 NAT, puede configurar un host, un rango de host o una subnet. También debe configurar:

Interfaz

El nombre de la interfaz Ethernet en la cual se aplica 1-to-1 NAT. Su Firebox aplica 1-to-1 NAT a paquetes enviados hacia y desde la interfaz. En nuestro ejemplo anterior, la regla se aplica a la interfaz externa.

Base NAT

Cuando configura una regla 1-to-1 NAT, configura la regla con un rango desde y un rango a de direcciones IP. La base de NAT es la primera dirección IP disponible en el rango de direcciones a. La dirección IP base de NAT es la dirección a la que cambia la dirección IP de base real cuando se aplica 1-to-1 NAT. No se puede usar la dirección IP de una interfaz Ethernet existente como base de NAT. Para NAT a través de una interfaz externa, la base NAT es la dirección IP pública.

Base Real

Cuando configura una regla 1-to-1 NAT, configura la regla con un rango desde y un rango a de direcciones IP. La base real es la primera dirección IP disponible en el rango de direcciones desde. Es la dirección IP asignada a la interfaz Ethernet física de la computadora a la cual se aplicará la política de 1-to-1 NAT. Cuando los paquetes de una computadora con una dirección de base real atraviesan la interfaz especificada, se aplica la acción 1-to-1. Para NAT a través de una interfaz externa, la base Real es la dirección IP privada.

Número de hosts para NAT (para rangos únicamente)

El número de direcciones IP en un rango al cual se aplica la regla 1-to-1 NAT. La primera dirección IP de base real se traduce a la primera dirección IP de base de NAT cuando se aplica 1-to-1 NAT. La segunda dirección IP de base real en el rango se traduce a la segunda dirección IP de base NAT cuando se aplica 1-to-1 NAT. Esto se repite hasta que se alcanza el Número de hosts para NAT. En el ejemplo anterior, el número de host al que se aplicará NAT es 5.

Para observar un ejemplo de cómo usar 1-to-1 NAT, consulte Ejemplo de 1-to-1 NAT.

Para ver una demostración sobre cómo configurar 1-to-1 NAT, vea el Tutorial en Video titulado Primeros Pasos con NAT.

1-to-1 NAT a Través de un Túnel VPN de Sucursal

Se puede usar 1-to-1 NAT cuando se debe crear un túnel VPN entre dos redes que usan la misma dirección de red privada. También puede usar 1-to-1 NAT en una configuración de VPN cuando quiera enmascarar su esquema de dirección interna desde la red remota.

Cuando se crea un túnel VPN, las redes en cada extremo del túnel VPN deben tener rangos de direcciones de red diferentes. Si el rango de red en la red remota es el mismo que en la red local, debe usar 1-to-1 NAT. Para un interfaz virtual BOVPN, puede seleccionar el nombre virtual de la interfaz virtual BOVPN en la configuración de 1-to-1 NAT, y agregar una regla de 1-to-1 NAT según lo descrito en la sección anterior.

Para una VPN de sucursal que no es una interfaz virtual BOVPN, puede configurar 1-to-1 NAT en los ajustes de la puerta de enlace y túnel VPN de sucursal. Configure ambas puertas de enlace para usar 1-to-1 NAT y crear el túnel VPN, pero no cambie las direcciones IP de un lado del túnel. Usted configura 1-to-1 NAT para un túnel VPN al configurar el túnel VPN, y no en el cuadro de diálogo Red > NAT.

Para ver un ejemplo de este tipo de configuración, consulte Configurar 1-to-1 NAT a través de un Túnel VPN de Sucursal.

Ver También

Acerca de 1-to-1 NAT

Configurar 1-to-1 NAT Basada en Políticas