En este tutorial vamos a explicar los conceptos bsicos de lo que conocemos como NAT.

No se
pretende dar una explicacin profunda de todos los tipos de NAT existentes, sino dar una
explicacin que, de cara al usuario, sirva para comprender el porqu de la necesidad de este
mecanismo, qu tiene que ver con lo que se conoce habitualmente como abrir puertos (como
popularmente se conoce), y entender que pasa en nuestro router cuando abrimos esos puertos.
Unas palabras sobre direcciones IP
Como seguramente muchos habrn odo hablar, hay dos tipos (en realidad ms, pero slo nos
interesan estos dos) de direcciones IP: direcciones pblicas y direcciones privadas.
Las direcciones privadas son rangos especiales de direcciones IP que se reservan para ser
utilizadas en redes locales, y se llaman privadas (o no-enrutables) porque no pueden ser
utilizadas en Internet. Los routers intermedios que componen todo Internet, no entienden este
tipo de direcciones y no las encaminan.
Esto da una gran flexibilidad para configurar redes locales, ya que por ejemplo, yo puedo tener
en mi red local direcciones del tipo 192.168.0.0, y mi vecino tambin, pero como esas
direcciones no salen de la red local no hay ningn conflicto. Esto no pasa con las direcciones
pblicas, que son las que se usan en Internet, y han de pertenecer a un nico equipo (host); no
puede haber varios con la misma IP pblica.
Pero esto tiene tambin un problema. No hemos dicho antes que estas direcciones no pueden
ser usadas en Internet? Entonces, cuando nosotros enviamos a Internet (a google, por ejemplo)
algo desde nuestra red local, en el paquete que enviamos figura como IP de origen nuestra IP
privada Como va a poder devolvernos el paquete (en ese caso google) si ha de devolverlo a
una IP que no puede ser usada en Internet?
La solucin a este problema es NAT: Network Address Translation (o Traduccin de
Direcciones de RED)
NAT: Traduccin de Direcciones de Red
La idea bsica que hay detrs de NAT es traducir las IPs privadas de la red en una IP publica
para que la red pueda enviar paquetes al exterior; y traducir luego esa IP publica, de nuevo a la

IP privada del pc que envi el paquete, para que pueda recibirlo una vez llega la respuesta. Con
un ejemplo lo veremos mejor.
Imaginemos que tenemos nuestra siguiente red:
Podra ser la tpica red casera en la que tenemos un par de PCs
que salen a Internet a travs del router. Cada PC tiene asignada
una IP privada, y el router tiene su IP privada (puerta de enlace)
y su IP pblica (que es nuestra IP de Internet).
Cuando uno de los PCs de la red local quiere enviar un paquete
a Internet, se lo enva al router (o a la puerta de enlace o
gateway), y ste hace lo que se conoce como SNAT (Source-NAT) y cambia la direccin de
origen por si IP pblica. As, el host remoto sabr a qu IP pblica ha de enviar sus paquetes.
Cuando una respuesta o un paquete pertenecientes a esa conexin llegue al router, ste traducir
la direccin IP de destino del paquete (que ahora es la IP del router) y la cambiar por la
direccin privada del host que corresponde, para hacer la entrega del paquete a la red local.
DNAT: Destination-NAT
Hasta ahora hemos visto como acta el software de NAT para permitir que un PC de una red
privada pueda acceder a Internet y recibir respuestas. El mecanismo que utiliza NAT para las
asociaciones entre IP pblica y IP privada es una tabla (tabla de NAT) en la que guarda una
entrada por cada conexin. Cuando un host de la red local inicia una conexin hacia el exterior,
el software de NAT asigna una entrada en la tabla, para que a partir de ahora, todo lo que llegue
perteneciente a esa conexin sepa traducirlo hacia la IP privada que inici la conexin.
Pero qu pasa si la conexin se inicia desde el exterior? Por ejemplo, si montamos en nuestra
red local un servidor web, lo que queremos es que se puedan iniciar conexiones hacia l. Para
poder hacer esto se utiliza DNAT (Destination-NAT).
Cuando inicibamos una conexin desde la red local, se creaba automticamente una entrada en
la tabla de NAT para que todo lo que perteneciera a esa conexin fuera dirigido hacia el PC
correspondiente. Pero si la conexin se inicia desde fuera como y cuando se crea esa entrada
en la tabla de NAT? La respuesta es que si queremos permitir conexiones desde el exterior a un

PC de nuestra red local, hemos de aadir una entrada fija en la tabla de NAT, indicando que
todo el trfico que llegue que vaya a determinado puerto, sea dirigido al PC en cuestin. El
puerto es el nico elemento que tenemos para distinguir conexiones, ya que todo llegar a la
IP del router, pero tendrn un puerto de destino segn sea una conexin u otra. As que, en
nuestro ejemplo, deberamos crear una entrada fija en la tabla de NAT en la que indicramos
que lo que llegue al puerto 80 (web) sea dirigido al PC en el que corre el servidor web.
Esto es lo que se conoce habitualmente como abrir puertos en el router. Al abrir puertos,
simplemente estamos aadiendo una entrada a la tabla de NAT del router para que sepa hacer la
traduccin y sepa a qu PC enviar los paquetes. Ya que desde el exterior, aunque nuestra red
tenga varios PCs, se ver como si slo fuera uno (solo se conoce la IP del router, ste lo traduce
todo) y necesitamos que ste router al que le llega todo el trfico sepa a quin ha de
entregrselo.
Conclusin
Como se puede apreciar NAT es un mecanismo muy potente que nos permite crear redes
locales con gran flexibilidad, pero tambin tiene sus inconvenientes. Muchas aplicaciones
podran no funcionar detrs de NAT. Pero eso es quiz un tema un poco ms avanzado que
queda fuera del objetivo de este tutorial. De todos modos las funcionalidades comentadas de
NAT (que son el SNAT y el DNAT) son las ms usuales y importantes, y comprenderlas es
suficiente para tener una idea bastante buena de qu es NAT y qu es lo que pasa en los
routers/gateways que dan salida a nuestra red local.
Manual escrito por Nacx para www.adslayuda.com