Bucle Invertido de NAT y 1-to-1 NAT

El bucle invertido de NAT permite a un usuario en las redes de confianza u opcionales conectarse a un servidor público con su dirección IP o nombre de dominio público del servidor, si el servidor se encuentra en la misma interfaz física del Firebox. Para comprender cómo configurar el bucle invertido de NAT cuando usa 1-to-1 NAT, proponemos este ejemplo:

La empresa ABC tiene un servidor HTTP en la interfaz de confianza del Firebox. La empresa usa una regla 1-to-1 NAT para asignar la dirección IP pública al servidor interno. La empresa desea permitir que los usuarios en la interfaz de confianza usen la dirección IP o nombre de dominio público para acceder a este servidor público.

Para este ejemplo, asumimos una configuración de 1-to-1 NAT existente:

• La interfaz de confianza está configurada con una red principal, 10.0.1.0/24
• El servidor HTTP está conectado físicamente a la red en la interfaz de confianza y tiene la dirección IP 10.0.1.5.
• La interfaz de confianza también está configurada con una secondary network, 192.168.2.0/24.
• Un servidor con dirección IP pública 203.0.113.5 se asigna con una regla 1-to-1 NAT a un host en la red interna.

El ejemplo de configuración 1-to-1 NAT tiene estos ajustes:

Interfaz — Externa. Base NAT — 203.0.113.5, Base Real — 10.0.1.5

s
La configuración de 1-to-1 NAT existente en Fireware Web UI

La configuración 1-to-1 existente en Policy Manager

Para habilitar el bucle invertido de NAT para todos los usuarios conectados a la interfaz de confianza, debe:

1. Asegurarse de que exista una entrada 1-to-1 NAT para cada interfaz que usa ese tráfico cuando las computadoras internas obtienen acceso a la dirección IP pública 203.0.113.5 con una conexión de bucle invertido de NAT.

Para este ejemplo, debe agregar una asignación más de 1-to-1 NAT para aplicar al tráfico que empieza desde la interfaz de confianza. La nueva asignación 1-to-1 es la misma que la anterior, excepto que la Interfaz está configurada como De confianza en lugar de Externa.

La asignación 1-to-1 NAT en Fireware Web UI

La asignación 1-to-1 NAT en Policy Manager

Después de que agregue la segunda entrada 1-to-1 NAT, el Firebox tiene dos asignaciones 1-to-1 NAT; una para la Externa y otra para la De Confianza.

Interfaz — Externa, Base NAT — 203.0.113.5, Base Real — 10.0.1.5
Interfaz — De Confianza, Base NAT — 203.0.113.5, Base Real — 10.0.1.5

2. Agregue una entrada NAT Dinámica para cada red en la interfaz a la que está conectado el servidor.

• El campo Desde para la entrada NAT dinámica es la dirección IP de red de la red desde la cual las computadoras obtienen acceso a la dirección IP 1-to-1 NAT con el bucle invertido de NAT.
• El campo A para la entrada de NAT dinámica es la dirección base de NAT en la asignación 1-to-1 NAT.

En este ejemplo, la interfaz de confianza tiene dos redes definidas, y deseamos permitir a los usuarios de ambas redes obtener acceso al servidor HTTP con la dirección IP pública o nombre de host del servidor. Se deben agregar dos entradas NAT dinámica.

En la pestaña NAT Dinámica de la configuración NAT, agregue dos reglas de NAT dinámica:

10.0.1.0/24 – 203.0.113.5
192.168.2.0/24 – 203.0.113.5

La configuración NAT Dinámica en Policy Manager

Si planea usar el bucle invertido de NAT con un número grande de direcciones IP, puede especificar un rango de direcciones IP o subred en el campo A de la regla de NAT Dinámica.

3. Agregue una política para permitir que los usuarios en su red de confianza usen la dirección IP o nombre de dominio público para obtener acceso al servidor público en la red de confianza. Para este ejemplo:

Desde

Any-Trusted (Cualquiera-De confianza)

A

203.0.113.5

La política NAT de bucle invertido en Policy Manager

La política NAT de bucle invertido en Fireware Web UI

La dirección IP pública a la que los usuarios desean conectarse es 203.0.113.5.

Ver También

Acerca del Bucle Invertido de NAT

Configurar Firewall 1-to-1 NAT