Configurar NAT Estática (SNAT)

NAT Estática (SNAT), conocida también como reenvío de puerto, es una NAT de puerto-a-host. Con NAT estática, cuando un host envía un paquete desde una red a un puerto en una interfaz externa u opcional, NAT estática cambia la dirección IP de destino a una dirección IP y un puerto detrás del Firewall. Si una aplicación de software utiliza más de un puerto y los puertos se seleccionan en forma dinámica, debe usar 1-to-1 NAT o verificar si un proxy en el Firebox administra este tipo de tráfico. NAT estática también opera sobre las conexiones desde las redes que su Firebox protege.

Recomendamos que configure NAT estática en lugar de 1-to-1 NAT, especialmente si tiene una pequeña cantidad de direcciones IP públicas.

Puede configurar la NAT estática para las conexiones a una interfaz externa u opcional de Firebox. No puede configurar una NAT estática para las conexiones a una interfaz de confianza o personalizada. No puede configurar una NAT estática para las conexiones BOVPN o VPN móvil.

No puede configurar la NAT estática para un interfaz opcional en una Plantilla de Configuración de Dispositivo. Para obtener más información sobre cómo configurar una acción SNAT en una Plantilla de Configuración de Dispositivo, consulte Configurar una Acción SNAT.

Cuando usa NAT estática, las conexiones a un servidor interno se pueden dirigir a una dirección IP de interfaz del Firebox, en lugar de a la dirección IP real del servidor. Por ejemplo, puede colocar su servidor de correo electrónico SMTP detrás del Firebox con una dirección IP privada y configurar NAT estática en su política SMTP. Su Firebox entonces recibe conexiones en el puerto 25 y envía todas las conexiones SMTP a la dirección real del servidor SMTP detrás del Firebox.

  • En Fireware v12.2 o superior, puede especificar un FQDN en una acción SNAT además de una dirección IP.
  • En Fireware v12.2.1 o superior, puede especificar la dirección IP primaria o secundaria de la interfaz de bucle invertido en una acción de NAT estática. Puede hacer esto si tiene direcciones IP públicas independientes del proveedor, o tiene direcciones IP internas que no están asociadas con una interfaz específica, por lo que aún puede usar estas direcciones IP para NAT.

De forma predeterminada, una regla de NAT estática no cambia la dirección IP de origen para el tráfico entrante. Cuando agrega una acción NAT estática, puede especificar opcionalmente una dirección IP de origen en la acción. Posteriormente, cuando una conexión que coincide con los parámetros en su acción NAT estática es recibida por su Firebox, este cambia la dirección IP de origen por la dirección IP que usted especificó. Puede especificar una dirección IP de origen distinta para cada miembro de SNAT.

También puede habilitar la traducción de dirección del puerto (PAT) en una acción NAT estática. Cuando habilita PAT, puede cambiar el destino del paquete para especificar un host interno distinto y un puerto diferente.

Para ver una demostración sobre cómo configurar NAT estático, vea el tutorial en video titulado Primeros pasos con NAT.

Agregar una Acción NAT Estática

En Fireware Web UI, debe definir la acción NAT estática antes de que pueda usarla en una o más políticas.

  1. Seleccione Firewall > SNAT.
    Aparece la página SNAT.
  2. Haga clic en Agregar.
    Aparece la página Agregar SNAT.

Screen shot of the Add SNAT page

  1. En el cuadro de texto Nombre, ingrese un nombre para esta acción SNAT.
  2. (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
  3. Seleccione NAT Estática.
    Ésta es la selección predeterminada.
  4. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Miembro.

Screen shot of the Static NAT Add Member dialog box

  1. (Fireware v12.2.1 o superior) En la lista desplegable Dirección IP o Interfaz, seleccione la dirección IP o el alias de una interfaz externa, opcional o de bucle invertido para usar en esta acción. También puede seleccionar una dirección IP que pertenezca a una secondary network que esté asignada a una interfaz externa, opcional o de bucle invertido.

Por ejemplo, para usar NAT estática para los paquetes direccionados solamente a una dirección IP externa, seleccione la dirección IP externa o el alias. Para usar NAT estática para los paquetes dirigidos a cualquier interfaz de IP opcional, seleccione el alias Cualquiera-Opcional.

En Fireware v12.2 o inferior, esta lista desplegable se denomina Dirección IP Externa/Opcional. Puede seleccionar la dirección IP o el alias de una interfaz externa u opcional, pero no puede seleccionar la dirección IP de una interfaz de bucle invertido.

  1. (Fireware v12.2 o superior) En la lista desplegable Elegir Tipo, seleccione Dirección IP Interna o FQDN.
    1. Si seleccionó Dirección IP Interna, ingrese una dirección IP en el cuadro de texto Host.
    2. Si seleccionó FQDN, ingrese un nombre de dominio completamente calificado en el cuadro de texto Host.
  2. Para especificar la dirección IP de origen para esta acción NAT estática, marque la casilla de selección Establecer IP de Origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
  3. Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.

Si usa la acción SNAT en una política que permite un tipo de conexión diferente a TCP o UDP, la configuración de puerto interno no se usa para esa conexión.

  1. Haga clic en Aceptar.
    La ruta de NAT estática aparece en la lista Miembros y Direcciones.
  2. Para agregar otro miembro a esta acción, haga clic en Agregar y repita los pasos 7 al 12.
  3. Haga clic en Guardar.
    La nueva acción SNAT aparece en la página SNAT.

En el Policy Manager, puede crear una acción NAT estática y luego agregarla a una política o puede crear la acción NAT estática desde una configuración de política.

  1. Seleccione Configuración > Acciones > SNAT.
    Aparece el cuadro de diálogo SNAT.
  2. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar SNAT.

Screen shot of the Add SNAT dialog box

  1. En el cuadro de texto Nombre SNAT, ingrese un nombre para esta acción SNAT.
  2. (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
  3. Seleccione NAT Estática.
    Ésta es la selección predeterminada.
  4. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar NAT estática.

Screen shot of the Add Static NAT dialog box

  1. (Fireware v12.2.1 o superior) En la lista desplegable Dirección IP o Interfaz, seleccione la dirección IP o el alias de una interfaz externa, opcional o de bucle invertido para usar en esta acción. También puede seleccionar una dirección IP que pertenezca a una secondary network que esté asignada a una interfaz externa, opcional o de bucle invertido.

    2. Por ejemplo, para usar NAT estática para los paquetes direccionados solamente a una dirección IP externa, seleccione la dirección IP externa o el alias. Para usar NAT estática para los paquetes dirigidos a cualquier interfaz de IP opcional, seleccione el alias Cualquiera-Opcional.

    En Fireware v12.2 o inferior, esta lista desplegable se denomina Dirección IP Externa/Opcional. Puede seleccionar la dirección IP o el alias de una interfaz externa u opcional, pero no puede seleccionar la dirección IP de una interfaz de bucle invertido.

  2. Para especificar la dirección IP de origen para esta acción NAT estática, marque la casilla de selección Establecer IP de Origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
  3. (Fireware v12.2 o superior) En la lista desplegable Elegir Tipo, seleccione Dirección IP Interna o FQDN.
    1. Si seleccionó Dirección IP Interna, ingrese una dirección IP en el cuadro de texto Host.
    2. Si seleccionó FQDN, ingrese un nombre de dominio completamente calificado en el cuadro de texto Host.
  4. Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.

Si usa la acción SNAT en una política que permite conexiones diferentes a TCP o UDP, la configuración de puerto interno no se usa para esa conexión.

  1. Haga clic en Aceptar.
    La ruta de NAT estática aparece en la lista Miembros y Direcciones.
  2. Para agregar otro miembro a esta acción, haga clic en Agregar y repita los pasos 7 al 12.
  3. Haga clic en Aceptar.
    Aparece la nueva acción SNAT en el cuadro de diálogo SNAT.

Agregar una acción NAT estática a una política

Después de agregar una acción SNAT, puede utilizar la acción en una o más políticas.

  1. Seleccione Firewall > Políticas de Firewall.
  2. Haga clic en el nombre de una política para editarla.
  3. De la lista desplegable Las conexiones están, seleccione Permitidas.
    Para usar NAT estática, la política debe permitir conexiones entrantes.
  4. En la sección Hacia, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Miembro.

Screen shot of the Add Member dialog box, with a static NAT member selected

  1. De la lista desplegable Tipo de Miembro, seleccione NAT Estática.
    Aparece una lista de las Acciones NAT estática configuradas.
  2. Seleccione la acción NAT estática para agregarla a esta política. Haga clic en Aceptar.
    La ruta de NAT estática aparece en la sección Hasta de la configuración de políticas.
  3. Haga clic en Guardar.
  1. Haga doble clic en una política para editarla.
  2. De la lista desplegable Las conexiones están, seleccione Permitidas.
    Para usar NAT estática, la política debe permitir conexiones entrantes.
  3. En la sección Hacia, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Dirección.
  4. Haga clic en Agregar SNAT.
    Aparece el cuadro de diálogo SNAT, con una lista de las acciones NAT estática y de balance de carga en el servidor configuradas.

Screen shot of the SNAT dialog box with an SNAT action selected

  1. Seleccione la acción SNAT configurada que se agregará. Haga clic en Aceptar.
    O haga clic en Agregar para definir una nueva acción NAT estática. Siga los pasos en la sección Agregar una Acción NAT Estática para configurar la acción NAT estática.
  2. Haga clic en Aceptar para cerrar el cuadro de diálogo SNAT.
    La ruta de NAT estática aparece en la lista Miembros y Direcciones Seleccionados.

Screen shot of the Add Address dialog box, with a static NAT action added

  1. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Dirección.
  2. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Política.

Editar o Eliminar una Acción NAT Estática

Puede editar una acción SNAT desde la lista acción SNAT.

  1. Seleccione Firewall > SNAT.
    Aparece la página SNAT.
  2. Seleccione una acción SNAT.
  3. Haga clic en Editar.
    Aparece la página Editar SNAT.
  4. Modifique la acción SNAT.
    Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que utilizan esa acción SNAT.
  5. Haga clic en Guardar.
  1. Seleccione Configuración > Acciones > SNAT.
    Aparece el cuadro de diálogo SNAT.
  2. Seleccione una acción SNAT.
  3. Haga clic en Editar.
    Aparece la página Editar SNAT.
  4. Modifique la acción SNAT.
    Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que utilizan esa acción SNAT.
  5. Haga clic en Aceptar.

En Policy Manager, también puede editar una acción SNAT cuando edita una política.

  1. Haga doble clic en una política para editarla.
    Aparece la casilla de diálogo Editar Propiedades de Políticas con la pestaña Política seleccionada.
  2. En la sección A, seleccione la acción SNAT que desea editar.
  3. Haga clic en Editar.
    Aparece el cuadro de diálogo Editar SNAT.
  4. Modifique la acción SNAT.
    Cuando edite una acción SNAT en una política, los cambios que realice se aplican a todas las políticas que utilicen esa acción SNAT.
  5. Haga clic en Aceptar.

Puede eliminar cualquier acción SNAT que no sea utilizada por una política.

  1. Seleccione Firewall > SNAT.
    Aparece la página SNAT.
  2. Seleccione una acción SNAT.
  3. Haga clic en Eliminar.
    Aparece un cuadro de diálogo de confirmación.
  4. Haga clic en Aceptar para confirmar que desea eliminar la acción SNAT.
  1. Seleccione Configuración > Acciones > SNAT.
    Aparece el cuadro de diálogo SNAT.
  2. Seleccione una acción SNAT.
  3. Haga clic en Eliminar.
    Aparece un cuadro de diálogo de confirmación.
  4. Haga clic en para confirmar que desea eliminar la acción SNAT.
  5. Haga clic en Aceptar.

Cambiar la Configuración Global de NAT Estática

De forma predeterminada, el Firebox no borra las conexiones activas cuando modifica una acción NAT estática. Puede cambiar la configuración global de SNAT para que el Firebox borre las conexiones activas que utilizan una acción SNAT que haya modificado.

Para cambiar la configuración global de SNAT en Fireware Web UI o Policy Manager:

  1. Seleccione Configuración > Configuración Global.
  2. Seleccione Sistema > Configuración Global.
  3. Seleccione la pestaña Red.
  4. En la sección Flujo de Tráfico, marque la casilla de selección Cuando una acción SNAT cambia, borrar las conexiones activas que utilizan esa acción SNAT.

Ver También

Configurar NAT Dinámica Basada en Políticas

Ejemplo de Configuración — Configurar un Servidor Web Público Detrás de un Firebox

Ejemplo de Archivos de Configuración — Configurar un Servidor Web Público Detrás de un Firebox