Hacer NAT

Hacer NAT -Redirigir las peticiones externas a un puerto hacia un ordenador determinado- en el
router Xavi 7028r .

-Válido también para eMule-
La mayor ventaja del multipuesto frente al monopuesto es que no hace falta tener un
ordenador encendido para que los demás se conecten a Internet a través del router.
El NAT sirve para que cada ordenador conectado en multipuesto pueda hacer de servidor en
uno, varios, o todos los puertos.
Debemos tener en cuenta que, si tenemos varios ordenadores en una red interna, y una sola IP
pública, cuando se hacen peticiones desde el exterior a, por ejemplo, un servidor web en
nuestra IP pública en el puerto 80, el router no sabría a cuál de los ordenadores debe redirigir
esas peticiones web porque no sabe en cuál de nuestros ordenadores está el servidor web, a
menos que se le haya especificado al router que las peticiones a ese puerto deben ir dirigidas
a ese ordenador.
Aquí explicaremos cómo hacer NAT, cómo redirigir las peticiones externas en determinados puertos al ordenador que
queramos.
Por ejemplo, en una configuración multipuesto de siete ordenadores se podrían redirigir todas las peticiones que se
hagan desde el exterior al puerto tcp 80 (todas las peticiones de páginas web) a aquél de los siete en el que tenemos
alojado nuestro servidor de páginas web.
Hay algunos juegos y algunos programas P2P que también necesitan hacer de servidor en determinados puertos y, a
menos que tengamos un sólo ordenador configurado en monopuesto, deberemos hacer NAT. Por ejemplo, para
conseguir una identidad alta y mejores tasas de transferencia en la versión actual del eMule (la v0.30e a 13 de enero de
2004), necesitamos redirigir las peticiones externas a los puertos tcp 4662 y udp 4672 hacia la IP interna de la máquina
que tenga el eMule.
Procedimiento:
Para conseguir redirigir puertos (hacer NAT) en el Xavi debemos hacer lo siguiente (como ejemplo, redirigimos las
peticiones al puerto tcp 80 a la dirección 192.168.1.2):
Vamos al navegador y escribimos la dirección del Xavi, por defecto es la: http://192.168.1.1 e introducimos nombre y
contraseña.
Vamos a Configuration --> Security y, en la sección "Security interfaces", pinchamos en "Advanced NAT
Configuration", luego pinchamos en "Add Reserved Mapping".

En el primer campo: "Global IP Address" dejamos lo que hay: 0.0.0.0 -o lo cambiamos por nuestra IP pública, es lo
mismo- se trata de la dirección a la que se hacen las peticiones desde el exterior.
En el segundo campo: "Internal IP Address" escribimos la dirección interna del ordenador al que queremos redirigir
las peticiones (al que queremos hacer NAT), por ejemplo al 192.168.1.2
En el tercer campo: "Transport Type" escribimos el tipo de protocolo al que pertenece el puerto al que se dirigen las
peticiones externas: tcp, udp, ... etc el que sea. ("All" para todos los protocolos.)
Y en el cuarto campo: "Port Number" escribimos el puerto al que se hacen las peticiones, o lo dejamos a 0 si queremos
hacer NAT de todos los puertos a esa IP interna.
Si hacemos NAT de todos los protocolos y todos los puertos al mismo ordenador, ese ordenador queda en una
configuración similar a monopuesto con la ventaja de que los demás siguen pudiendo conectar a internet aunque él no
esté encendido.
Finalmente lo actívamos pinchando en "Add Reserved Mapping".
Y grabamos la nueva configuración para que los cambios que hemos hecho permanezcan la próxima vez que encendamos
el router (para grabarla hay que ir a Configuration --> Save Configuration --> Confirm Save).
Nota: éste es un ejemplo típico sobre cómo se pueden redireccionar peticiones a cualquier puerto. Si realmente el
puerto que se redirecciona es el 80 hay que mencionar una particularidad de este router: si se entra a visitar una
página desde la propia red interna escribiendo la IP pública en el navegador, el que nos responderá seguirá siendo el
servidor web que posee el propio router y no el servidor web a donde hemos redirigido las peticiones. Pero esto no es
problema ya que si hacemos peticiones al puerto 80 desde el exterior hacia nuestra IP pública, estas peticiones SÍ que
serán atendidas por el computador donde tengamos nuestro servidor web.
Josechu
http://www.josechu.com/index_es.htm
Primera publicación: 2003-10

Último cambio: 2006-07-31
Traductor de dirección de red (NAT)
1.
2. Traductor de dirección de red (NAT)
3. Aplicación
4. Operación básica
5. Manipulación de cabeceras
6. NAT con múltiples direcciones
7. Ejemplos de configuración
8. Conclusiones
9. Acrónimos
10. Bibliografía
INTRODUCCIÓN:
El uso de redes de computadoras en las empresas ha crecido y continúa creciendo drásticamente, en la mayoría de estos casos estas redes son de
uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las
direcciones IP públicas hace que adquirirlas sea costoso ([2], problema planteado en el capítulo 4), razón por la cuál las redes privadas utilizan un
direccionamiento basado en direcciones IP reservadas que son inválidas para su uso fuera de la red interna.
Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traducción de direcciones que permita que con
una sola conexión a la red de redes y unas cuantas direcciones IP válidas [1], de esta manera se puede tener un buen control sobre la seguridad de
la red y sobre el tipo de información intercambiada con redes externas.
La topología de red fuera de un dominio local puede cambiar de muchas maneras. Los clientes pueden cambiar proveedores, los backbones
(conexiones de Internet con gran ancho de banda) de las compañías pueden ser reorganizados o los proveedores pueden unirse o separarse.
Siempre que la topología externa cambie, la asignación de dirección para nodos en el dominio local puede también cambiar para reflejar los
cambios externos. Este tipo de cambios deben ser implementados en el router de acceso a Internet y de esta manera, pueden ser ocultados a los
usuarios de la rede interna de la organización [3].
TRADUCTOR DE DIRECCIÓN DE RED (NAT):
La "Traducción de Direcciones de Red", Network Address Translation (NAT), es un método mediante el que las direcciones IP son mapeadas
desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a las máquinas finales [4]. Existen muchas variantes de
traducción de direcciones que se prestan a distintas aplicaciones. Sin embargo todas las variantes de dispositivos NAT debería compartir las
siguientes características:
 Asignación transparente de direcciones.
 Encaminamiento transparente mediante la traducción de direcciones (aquí el encaminamiento se refiere al reenvío de paquetes, no al
intercambio de información de encaminamiento).
 Traducción de la carga útil de los paquetes de error ICMP
APLICACIÓN:
Como se explicó en el anterior punto, la traducción de la dirección de red, se aplica en redes que fueron implementadas con direcciones IP
privadas y necesitan tener un acceso a Internet, se debe solicitar a un proveedor un rango de direcciones válidas para poder asociar dichas
direcciones válidas con los hosts que tengan direcciones inválidas y necesiten salida a Internet.
Esta situación ocurre frecuentemente en las empresas que tienen redes internas grandes, también puede darse el caso que el proveedor sólo asigne
una dirección válida a la empresa, en esta situación se configura a NAT para que diferentes hosts dentro de la empresa puedan acceder a Internet
mediante esta única IP válida asignada por el proveedor, en este caso la configuración del router con NAT asocia además de la dirección IP, un
puerto para direccionar correctamente los paquetes a los diferentes hosts (estas dos situaciones serán explicadas más ampliamente en la siguiente
sección). Estos problemas también pueden presentarse en redes caseras más pequeñas y son una solución factible para habilitar una conexión a
Internet sin tener que hacer una reconfiguración de la red interna, además que el proceso de traducción de direcciones IP es transparente al
usuario final que no se da cuenta de lo que pasa.
OPERACIÓN BÁSICA:
Para que una red privada tenga acceso a Internet, el acceso debe ser por medio de un dispositivo ubicado en la frontera de las dos redes que tenga
configurado NAT para la traducción de direcciones, en estos casos lo más conveniente es poner a un router para que los paquetes sean enviados
hacia él. Existen dos tipos de asignación de direcciones:
 Asignación estática de direcciones, en el caso de asignación estática de direcciones, existe un mapeo uno a uno de direcciones para las
máquinas entre una dirección privada de red y una dirección externa de red durante el tiempo en funcionamiento del NAT. La asignación
estática de direcciones asegura que NAT no tiene que administrar la gestión de direcciones con los flujos de sesión[4].
Figura 1: NAT estático: cuando el host 192.168.0.2 envía un paquete al servidor 207.28.194.84
tiene en la cabecera de sus paquetes los datos mostrados en "A", al pasar estos paquetes por el
router NAT, los datos son modificados y llegan al servidor con los datos mostrados en "B". Las
relaciones de direcciones de la tabla del router son puestas estáticamente
 Asignación dinámica de direcciones, en este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de
manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. Cuando la última de las
sesiones que use una dirección asociada termine, NAT liberará la asociación para que la dirección global pueda ser reciclada para su posterior
uso. La naturaleza exacta de la asignación de direcciones es específica de cada implementación de NAT[4].
Para ver el gráfico seleccione la opción "Descargar" del menú superior

Figura 2: NAT dinámico: en este caso sucede lo mismo que en el anterior con las cabeceras de
los paquetes que salen de "A", en este caso la tabla muestra una lista con las direcciones válidas
disponibles para ser usadas, estas direcciones son asignadas dinámicamente a los hosts.
1.1 NAT tradicional:
La operación de Traducción de Dirección a analizar se denomina "NAT Tradicional", existen otras variantes de NAT que no serán exploradas. En
un NAT tradicional, las sesiones son unidireccionales, salientes de la red privada. Las sesiones en la dirección opuesta pueden ser permitidas en
una base excepcional usando mapeos de dirección estáticos para hosts preseleccionados. Existen dos variantes del NAT Tradicional: NAT Básico y
NAPT (Network Address Port Translation).
1.1.1 NAT Básico:
La operación de NAT Básico es como se describe a continuación: una zona con un conjunto de direcciones de red privadas puede ser habilitada
para comunicarse con una red externa mapeando dinámicamente el conjunto de direcciones privadas a un conjunto de direcciones de red válidas
globalmente, cada dirección tiene garantizada una dirección global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener
acceso simultáneo a la red externa son limitados por el número de direcciones en el conjunto global.
Direcciones locales individuales pueden ser estáticamente mapeadas a direcciones globales específicas para asegurarse acceso garantizado hacia
fuera o para permitir acceso al host local desde hosts externos mediante una dirección pública fija. Sesiones múltiples simultáneas pueden ser
iniciadas desde un nodo local, usando el mismo mapeo de dirección.
Las direcciones dentro de la zona son locales para este dominio y no son válidas fuera de él. De este modo, las direcciones dentro de la zona
pueden ser reusadas por alguna otra. Por ejemplo, una sola dirección de clase A puede ser usada por muchas zonas. En cada punto de salida entre
una zona y el backbone, NAT está instalado. Si hay mas de un punto de salida es de gran importancia que cada NAT tenga la misma tabla de
traducción[3].
En el ejemplo de la Figura 3 la red de la derecha tiene las direcciones de clases A 10.0.0.0, en 1 una máquina ubicada en una red externa con
dirección 130.57.52.13 envía un paquete a la dirección 130.57.199.13, en 2 el paquete llega al router NAT el cuál traduce la dirección de destino
130.57.199.13 por la dirección 10.0.0.1 que es la dirección verdadera del host destino, esto se ve en 3, en 4 la máquina envía una respuesta con
dirección fuente 10.0.0.1, al pasar por el router NAT la dirección de fuente de la respuesta es modificada por la dirección 130.57.199.13 que es una
dirección global única, esto se ve en 5.
Se puede ver la tabla de traducción que tiene el router, en la cuál se observa la asociación de direcciones locales con las direcciones que usarán en
Internet.
Figura 3: NAT Básico: a cada host de la red se le asigna una dirección global única.
Todo este proceso no requiere cambios en el host o en el router, las traducciones de dirección son transparentes para los hosts finales.
1.1.2 Traducción de Dirección de Red y Puerto – NAPT
Digamos, una organización tiene una red IP privada y una conexión WAN a un proveedor de servicio. El router de zona de la red privada es
asignado a una dirección válida globalmente en la conexión WAN y los demás nodos en la organización usan direcciones IP que tienen sólo
significado local. En este caso, a los nodos en la red privada se les puede permitir acceder simultáneamente a la red externa, usando la única
dirección IP registrada con la ayuda de NAPT. NAPT permitiría mapeos de tuplas del tipo (direcciones IP local, número de puerto TU local) a tipos
del tipo (dirección IP registrada, número de puerto TU asignado).
Este modelo es adecuado para muchos grupos de redes pequeñas para acceder a redes externas usando una sola dirección IP asignada del
proveedor de servicio. Este modelo debe ser extendido para permitir acceso entrante mapeando estáticamente un nodo local por cada puerto de
servicio TU de la dirección IP registrada[3].
En el ejemplo de la Figura 4 la red interna maneja el rango de direcciones 192.168.0.0 de clase C, la interface del router que se comunica con
Internet tiene asignada la dirección 206.245.160.1.
Cuando el host con dirección 192.168.0.2 envía un paquete http (puerto destino 80) al servidor 207.28.194.84, en la cabecera de los paquetes se
envía la información mostrada en "A" donde se indica la dirección fuente como Src y la dirección destino como Dst estos paquetes son enviados al
router NAT ubicado al centro del gráfico.
El router tiene configurado NAPT y lo que sucede es que se traduce la tupla de dirección de origen 192.168.0.2 y puerto origen 1108 en los
encabezados IP y TCP por la tupla 206.245.160.1 que es una dirección globalmente única y al puerto 61001 antes de reenviar al paquete, es decir
los paquetes salen del router con los datos mostrados en "B".
Los paquetes de regreso que sean enviados por el servidor web, pasan por una traducción de dirección y puerto similar por la dirección IP de
destino y puerto TCP de destino. Se observa que esto no requiere de cambios en los hosts o en los routers. La traducción es completamente
transparente para los usuarios.
En el gráfico se muestra la tabla de asignación de los hosts con las direcciones de los hosts de la red interna con sus respectivos puertos y la
asociación de puertos con los que será enviada la información afuera.
Figura 4: NAPT: ejemplo de funcionamiento de NAPT, se usa una sola dirección IP válida
y se conectan diferentes hosts de la red interna hacia Internet por diferentes puertos.
1.2 Fases de Traducción:
 Lingando la dirección, con NAT Básico, una dirección privada es ligada a una dirección externa, cuando la primera sesión saliente es
iniciada desde el host privado. Después de esto, todas las otras sesiones salientes originadas desde la misma dirección privada usarán la misma
dirección unida por la traducción de paquete.
En el caso de NAPT, donde muchas direcciones privadas son mapeadas a un sola dirección globalmente única, la unión sería desde la tupla de
(dirección privada, puerto TU privado) a la tupla de (dirección asignada, puerto TU asignado). Como con NAT Básico, esta unión es determinada
cuando la primera sesión saliente es iniciada por la tupla de (dirección privada, puerto TU privado) en el host privado.
 Búsqueda y traducción de dirección, Después de que una unión de dirección o unión de tupla (dirección, puerto TU) en el caso de NAPT es
establecida, se puede mantener un estado para cada una de las conexiones usando la unión. Los paquetes pertenecientes a la misma sesión
estarán sujetos a la búsqueda de sesión para propósitos de traducción. La naturaleza exacta de la traducción es discutida en la sección
siguiente.
 Desligando la dirección, Cuando la última sesión basada en una unión de dirección o de tupla (dirección, puerto TU) es terminada, su
unión puede ser terminada[3].
MANIPULACION DE CABECERAS:
En el modelo NAT Básico, el encabezado IP de todos los paquetes debe ser modificado. Esta modificación incluye la dirección IP (dirección IP
origen para paquetes salientes y dirección IP destino para paquetes entrantes) y la suma de control IP.
Para las sesiones TCP y UDP, las modificaciones deben incluir actualización de la suma de control en los encabezados TCP/UDP. Esto es porque la
suma de control de TCP/UDP también cubre un pseudoencabezado que contiene las direcciones IP origen y destino. Como una excepción, los
encabezados UDP con suma de control 0 no deben ser modificados. Como para los paquetes de petición ICMP, no son requeridos cambios
adicionales en el encabezado ICMP como la suma de control en el encabezado ICMP que no incluye las direcciones IP[3].
En el modelo NAPT, las modificaciones al encabezado IP son similares a las del modelo NAT Básico. Para las sesiones TCP/UDP, las
modificaciones deben ser extendidas para incluir la traducción del puerto TU (puerto TU origen para paquetes salientes y puerto TU destino para
paquetes entrantes) en el encabezado TCP/UDP. El encabezado ICMP en los paquetes de petición ICMP deben también ser modificados para
reemplazar el ID de petición y la suma de control del encabezado ICMP. La suma de control del encabezado ICMP debe ser corregida para contar
la traducción del ID de petición.
Estas son algunas de las modificaciones efectuadas:
 Ajuste de la suma de control, las modificaciones de NAT son por paquete y puede ser un cómputo muy intensivo, ello involucra una o más
modificaciones a la suma de control, inclusive para traducciones de un sólo campo[3].
 Modificaciones al paquete de error ICMP, los cambios al mensaje de error ICMP incluirán cambios a los encabezados IP e ICMP en la
capa saliente como bien cambios a los encabezados de los paquetes embebidos en la carga útil del mensaje ICMP-error.
El método para NAT debe ser transparente para el host-final, la dirección IP del encabezado IP embebido en la carga útil del mensaje ICMP-error
debe ser modificado, el campo de suma de control del encabezado IP embebido debe ser modificado, y finalmente, la suma de control del
encabezado ICMP debe también ser modificada para reflejar los cambios a la carga útil[3].
 Manipulando la opción IP, un datagrama IP con una de las opciones IP de Registrar Ruta, Encaminamiento de Origen Fijo o
Encaminamiento de Origen No Estricto involucraría registro o uso de direcciones IP de routers intermedios. Un router NAT intermedio puede
elegir no soportar estas opciones o dejar las direcciones sin traducir mientras que si procesa las opciones. El resultado de dejar las direcciones
sin traducir sería que direcciones privadas a lo largo del encaminamiento origen son expuestas de extremo a extremo. Esto no debe poner en
peligro la ruta atravesada por el paquete, de hecho, como cada router se supone que mira sólo al próximo salto[3].
En general, NAT no debería trabajar con ninguna aplicación que envíe direcciones IP o puertos como datos. Por ejemplo, cuando dos programas
usan FTP mantienen una conexión TCP entre ellos. Como parte del protocolo, un programa obtiene un número de puerto en la máquina local, y
envía los datos por la conexión TCP al otro programa. Si la conexión entre los programas pasa por medio de un router configurado con NAPT, el
puerto podría ser cambiado y reemplazado por el puerto que NAPT le asigne. Así, si NAT falla al cambiar el número de puerto, el protocolo podría
fallar. Las implementaciones de NAT fueron creadas para reconocer puertos conocidos como el de FTP y hacer los cambios necesarios en el flujo
de datos. Pero existen aplicaciones que no pueden ser usadas con NAT[1].
NAT CON MÚLTIPLES DIRECCIONES:
La configuración NAT con múltiples direcciones se refiere al NAPT mediante el cuál, como ya se explico, un grupo de hosts en una red privada
pueden tener salida a redes externas con una sola dirección global mediante la asociación de direcciones IP y puertos TU. Se pueden tener varias
direcciones globales asignadas a la red y por cada dirección pueden salir grupos de hosts a redes externas(este tema está explicado en el punto 4.1-
2 de este informe).
En la configuración NAT Básico, cuando los nodos de la red privada agotan las direcciones globales disponibles para el mapeo, el acceso a la red
externa para algunos de los nodos locales es abruptamente cortado cuando la última dirección IP válida de la lista fue asignada.
Esto es un inconveniente y puede ser evitado permitiendo que el router NAT Básico pueda conmutar a una configuración NAPT para la última
dirección global de la lista de direcciones. Haciendo esto asegurará que los hosts de la red privada tengan continuidad en el acceso a los nodos
externos y servicios para la mayoría de las aplicaciones[3].
EJEMPLOS DE CONFIGURACIÓN:
Ejemplificaremos como debe ser la configuración de NAT estático, NAT dinámico y NAPT en ese orden[5].
Configuración NAT estático:
Para configurar NAT estático se deben seguir los siguientes pasos:
Definir el mapeo de las direcciones estáticas:
ip nat inside source static local-ip global-ip
ip nat inside source static network local-network global-network mask
Especificar la interfaz interna
ip nat inside
Especificar la interfaz externa
ip nat outside
Ejemplo:
R# configure terminal
R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1
R(config)# interface e0
R(config-if)# ip nat inside
R(config-if)# exit
R(config)# interface s0
R(config-if)# ip nat outside
R(config-if)# exit
R(config)# exit
R#
Configuración NAT dinámico:
Para configurar NAT dinámico se deben seguir los siguientes pasos:
Crear un conjunto de direcciones globales:
ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length}
Crear una ACL que identifique a los hosts para la traslación
access-list access-list-number permit source {source-wildcard}
Configurar NAT dinámico basado en la dirección origen
ip nat inside source list access-list-number pool name
ip nat inside
ip nat outside
Ejemplo:
R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.254 netmask
255.255.255.0
(config)# access-list 2 permit 10.1.1.0 0.0.0.255
R(config)# ip nat inside source list 2 pool fib-xc
R(config-if)# exit
R(config-if)# exit
R(config)# exit
R# show ip nat translations
Configuración NAPT:
Para configurar NAPT se deben seguir los siguientes pasos:
Crear un conjunto de direcciones globales (puede ser una sola dirección):
ip nat pool name start-ip end-ip {netmask mask | prefix-length prefix-length}
Crear una ACL que identifique a los hosts para la traslación
access-list access-list-number permit source {source-wildcard}
Configurar PAT basado en la dirección origen
ip nat inside source list access-list-number pool name overload
ip nat inside
ip nat outside
Ejemplo: Usaremos hasta 30 direcciones internas globales, cada una de las cuales hace NAPT

R(config)# ip nat pool fib-xc 198.3.4.1 198.3.4.30 netmask
255.255.255.0
(config)# access-list 2 permit 10.1.1.0 0.0.0.255
R(config)# ip nat inside source list 2 pool fib-xc overload
R(config-if)# exit
R(config-if)# exit
R(config)# exit
R# show ip nat translations
En el caso de que no haya un conjunto de direcciones globales podemos usar la dirección asignada a la interficie "s0" de la siguiente manera:
R(config)# ip nat inside source list 2 interface s0 overload
Verificación de una configuración NAT
Usamos los siguientes comandos para verificar que la configuración NAT es correcta (desde modo privilegiado):
show ip nat translations
show ip nat translations verbose
show ip nat statistics
debug ip nat (no debug ip nat)
clear ip nat translations elimina todas las traslaciones NAT
CONCLUSIONES:
Gracias a la invención de NAT, se detuvo el agotamiento de las direcciones IP válidas, porque permite que varios hosts dentro de una red privada,
tengan acceso a Internet con sólo usar unas pocas direcciones IP válidas. Esta es una gran ventaja porque le dio un respiro a IPv4 para que no
colapse rápido y dio tiempo para la creación de una nueva versión de IP (IPv6) que soluciones el problema de agotamiento de direcciones([2] tema
tratado en el capítulo 29).
Aunque un router que utiliza NAT no es un cortafuegos (firewall), provee de cierta seguridad, porque los hosts externos a la red no conocen las
direcciones verdaderas de los hosts que se encuentran dentro de la red privada, haciendo que sea difícil poder realizar un ataque desde hosts
externos.
Una desventaja de NAPT es cuando se debe traducir paquetes fragmentados TCP/UDP, sólo el primer fragmento contiene el encabezado
TCP/UDP que sería necesario para asociar el paquete a una sesión para la traducción. Los fragmentos siguientes no contienen información del
puerto TU, simplemente llevan el mismo identificador de fragmentación especificado en el primer fragmento. El problema se presenta cuando dos
hosts de la red privada originan paquetes TCP/UDP fragmentados al mismo host destino, si por coincidencia usaron el mismo identificador de
fragmentación, cuando el host destino recibe los datagramas de ambas fuentes (que no tienen relación entre si) con el mismo identificador de
fragmentación y desde la misma dirección de host asignada, es incapaz de determinar a cual de las dos sesiones pertenece cada datagrama y las
dos sesiones se corrompen.
ACRÓNIMOS:
FTP: File Transfer Protocol (protocolo de transferencia de archivos)
HTTP: Hyper Text Transfer Protocol (protocolo de transferencia de hipertexto)
ICMP: Internet Control Message Protocol (protocolo de control de mensajes de Internet)
IP: Internet Protocol (protocolo de Internet)
IPv4: Versión número 4 del protocolo de Internet
IPv6: Versión número 6 del protocolo de Internet
LAN: Local Area Network (red de area local)
NAPT: Network Address Port Translation (traducción de dirección de red y puerto)
NAT: Network Address Translation (traducción de dirección de red)
Puerto TU: Puerto TCP – UDP
TCP: Transfer Control Protocol (protocolo de control de transferencia)
UDP: User Datagram Protocol (protocolo de datagrama de usuario)
WAN: World Area Network (red de area amplia)
BIBLIOGRAFÍA:
[1] COMER Douglas
Internetworking with TCP/IP volume 1 - 4ta edición
Editorial Prentice-Hall Inc.
[2] COMER Douglas
Redes Globales de Información con Internet y TCP/IP - 3ra edición
Editorial Prentice-Hall Inc.
[3] RFC 3022 – Traductor de Dirección de Red IP Tradicional (NAT Tradicional)
Página: http://www.rfc-es.org/getfile.php?rfc=3022 última revisión 16 / II / 2005
[4] RFC 2663 – Terminología y consideraciones sobre Traducción de Direcciones IP
Página: http://redes-linux.all-inone.net/rfc-es/rfc2663-es.txt última revisión 16 / II / 2005
[5] José M. Barceló Ordinas
Ejemplos de NAT con IOS
Página: http://studies.ac.upc.edu/FIB/XC/XC-Lab-7-NAT.pdf última revisión 16 / II / 2005
Realizado por:
Ing. Raúl Antelo Jurado
Trabajo realizado para la Maestría en Telemática
UMSS – CUJAE Cochabamba – Bolivia
Febrero del 2005
Como veo mis cámaras IP remotamente??

SOLUCION : RECUERDEN QUE LAS COMPAÑIAS DE TELEFONIA IP Y DE TELEVISION POR CABLE QUE DAN EL SERVICIO DE INTERNET. TIENEN TODOS LOS
PUERTOS CERRADOS YO TAMBIEN TENIA EL MISMO PROBLEMA MI SOLUCION FUE INSTALAR UN ROUTER LINKSYS CON EL ABRI EL PUERTO 8000 AL
MISMO QUE LE PUSE A MI DVR ESTO TAMBIEN SE PUEDE PONER A UNA CAMARA IP, TAMBIEN A MI CAMARA LE ASIGNE UNA DIRECCION IP
192.168.1.XX PUERTO 8000 OJO TAMBIEN HAY QUE VER QUE EL ROUTER DETECTE TU IP PARA QUE ESTE REDIRECCIONE A LA CAMARA O A UN DVR.
OJO LOCALMENTE NO PODRAN ENTRAR A SUS CAMARAS POR QUE REDIRECCIONA EL ROUTER A TU CAMARA SI ACCESAS LOCALMENTE HASLO POR IP.
DILE ALGUN AMIGO EN EL MSN QUE ACCESE A TUS CAMARAS DESDE OTRA RED. CUALQUIER DETALLE O PROBLEMA QUE TENGAN ESCRIBAN A
moralesjo06@yahoo.com.mx www.cctvsoluciones.mex.tl
abrir puertos http://www.adslzone.net/tutorial-34.2.html
Intenta usando el NAT de tu router ( NETWORK ADDRES TRASLATION) esta herramienta hace que cuando tu coloques la direcion IP dinamica de tu
proveedor ( o la direccion con el DNS ya que esto lo que hace es actualizar la direccion ip cada vez que arranques tu computador o cada vez que el
proveedor de internet te la cambie.) , el router se enrute hacia la direccion donde esta instalada la IP en su red interna. los datos para el NAT van a ser
la direcion en la red de la cam ip. ( 192.186. X. X) pones la opcion TCP . tambien suele suceder que algunos proveedores de internet, aveces asignan una
direccion IP de la red para poder acceder a camaras remotas. Primero utilzas el NAT.
lo unique que debes hacer es en el DMZ de tu router colocar la direccion privada de la camara, inmediatamente esta saldra a internet
http://download.conceptronic.net/...
Hola, si tienes 2 camaras IP y tienes IP dinamica tienes 2 formas para poder ver las camaras desde internet.
1. Debes configurar los Virtual Server en router ADSL, y a una de las camaras debes de cambiarle el puerto de escucha del servicio WEB que por defecto
es el puerto 80.
2. Comprar un router adicional y configurar el DMZ en el Router de Internet a la direccion IP local de tu nuevo router, adicionalmente configurar los
virtual server en tu nuevo router para que dirija las peticiones de tus camaras.
te voy a dar un ejemplo: desde tu nevegador digitarias lo siguiente:
http://www.micuentaDdns.com:80 - Esto para la camara 1

http://www.micuentaDdns.com:81 - Esto para la camara 2
Mikrotik
Guia paso-a-paso de Mikrotik

Tabla de contenido
• 1 Introducion
• 2 Como realizar NAT en Mikrotik
• 3 Como amarrar IP/MAC
• 4 Configurando el WEB-PROXY
• 5 Control de banda
• 6 Acesso remoto a outro Mikrotik
• 7 Controle P2P (Muy Bueno)
• 8 BACKUP e restauracion
• 9 Limitar conexiones por cliente
• 10 Servidor PPPoE y Servidor de Clientes
• 11 Amarrar faixa de IP no DHCP
• 12 Configurando o HOTSPOT
• 13 Configuraçion de dos tarjetas Wireless
• 14 Conociendo lasfunçiones de menu do WINBOX ***en contruccion ***
• 15 Instalaçion de MIKROTIK (Link Dedicado)
• 16 Configurando Servidor de Hora Automático
• 17 Lista de SCRIPTS y Ejemplos Utiles
• 18 Configurando Liberaçion Automática de Banda por hora determinada
• 19 LOADBALANCE – Vista General de aplicacion
• 20 LOADBALANCE - ADSL X ADSL
• 21 LOADBALANCE - ADSL X LINK DEDICADO
• 22 LOADBALANCE - DIVIDINDO CARGA DE FORMA PERSONALIZADA ENTRE dos LINKS
• 23 Mk como AP-bridge
• 24 FIREWALL
• 25 Gráficos em Tiempo Real de Mikrotik
Introduccion
Busque en este paso a paso, ajuda de cierta forma, aquellos que sienten dificultades para realizar simples tareas en SO, Mikrotik. Basicamente y
estrutura de todo este passo-a-passo y de facill ejecución de procedimientos, orientados por simples textos e imágenes.
Agradesço a todos, que colaboraran o colaboran directa o indirecta mente para realizarlo
Esta expresamente prohibida la venta o cualquier otra forma de remuneración por medio de este material. Y permito divulgar, colaborar, sugerir
corrreciones de este material.
ATENCION: ERS GRATIS TODO QUE ESTÁ AQUI ES GRATIS GRÁTIS
Realice este material paso a paso para ayudar a los iniciados en este excelente sistema operativo para Ruteadores
Como Hacer NAT en Mikrotik
Aceda a Menú IP, FIREWALL

Escoja Opción NAT
Crea una nueva regla (“+”)
En “CHAIN” escoja a opción “srcnat”, en OUT INTERFACE (SAÍDA), escoja una interfase que lo conecta a Internet
En Opción “ACTION”, escoja a opción “MASQUERAD”.
Luego!! Su NAT está perfectamente configurado.
Como amarrar IP/MAC
Seleccione menú IP, ARP
Crea una Nueva “ARP” (botón “+”)
Digite una IP da máquina para amarrar, o MAC ADDRESS e a INTERFACE a la a máquina será ligada.
En COMMENT, de un Nombre de la ARP, como un ejemplo
Seleccione , INTERFACE
Como último procedimiento, UD debe habilitar en su interfase, o ARP para reply-only.

Configurando o WEB-PROXY
Seleccione IP, WEB-PROXY
Seleccione en botón “SETTINGS”
Deberá aparecer una ventana como esta
Configure de acuerdo a sus necesidades...

SRC-ADDRESS = Deje en blanco
PORT = Escoja puerto de su web-proxy
TRANSPARENT PROXY = Deje marcado para proxy transparente
PARENT PORT = Deje en Blanco
PARENT PROXY PORT = Deje en blanco
CACHE ADMINISTRATOR = Deje como está
MAXIMUM OBJECT SIZE = Deje como está
CACHE DRIVE = Deje como “system”
MAXIMUM CACHE SIZE = Define o tamaño do su cache, varia de acuerdo al tamaño de su Disco Duro
MAXIMUM RAM
CACHE SIZE = Define o tamaño máximo de su memoria RAM para el cache
Luego configurar estos parámetros, seleccione “ENABLE”
Luego configurar estos parámetros, Seleccione “ENABLE”
No se debe Poner CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc etc...)

Dos reglas se deben ser colocadas en avance "CACHE" do Web-Proxy para tal efecto
IP / WEB-PROXY / CACHE
Crear una nueva regla (boton “+”)
add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" \ disabled=no
add url="https://" action=deny comment="no cache dynamic https pages" \ disabled=no
Un segundo paso para nuestro WEB-PROXY funcione Realizar una nueva regla para re-direccionar los requisitos primarios para un proxy, para Eso :
Seleccione IP, FIREWALL
Escoja “NAT”
Crear una Nueva Regla (botón “+”)
Crear de la siguiente Forma:

• CHAIN = DSTNAT
• PROTOCOL = 6 (TCP)*
• DST. PORT = 80
• IN. INTERFACE = INTERFACE DOS CLIENTES
A Continuación “ACTION”
Escoja en “ACTION” la Opción “REDIRECT” y en “TO PORT” escoja ala puerta de su vproxy (definida anteriormente en el comienzo de este Tópico).
Es Interesante realizar una regla para cada interfase de asignada. En este caso se coloco 2 Interfaces (LAN/WLAN), se crean dos reglas una para cada
interfase
Es Importante Realizar una Regla de bloqueo externo al web-proxy. En el caso que ud no realice esta regla Ella sobrecargara su proxy, atascando su
servicio Siga Abajo:
Seleccione menú IP, FIREWALL
Seleccione “FILTER RULES”
Seguir la configuración:
• CHAIN = INPUT*
• PROTOCOL = 6 (TCP)
• DST PORT = PORTA DO SEU WEB-PROXY
• IN. INTERFACE = INTEFACE DE SALÍDA (LINK DE INTERNET)
Seleccione “ACTION”
En “ACTION” escoja la opción “drop”.

EM COMMENT podrá colocar un nombre en este caso podrá ser “BLOQUEO DE PROXY EXTERNO”.
Con este Paso a paso UD Creo y habilito su Web Proxy y También realizo el bloque del acceso externo a el .
Controle de banda
Seleccione , QUEUE
Crear un Nuevo control de banda( Botón”+”)
Configure como sigue

• NAME = Nombre de "dueño" de configuración – Nombre del cliente
• TARGET ADDRESS = IP que irá controlar a banda
• TARGET UPLOAD – MAX LIMIT = Tasa de upload (Colocar “k” Minúscula Al final)
• TARGET DOWNLAOD – MAX LIMIT = Tasa de download (Colocar “k” minúscula Al final)
Controle de banda concluido. Solamente si es nesesario.
Acceso remoto desde afuera de su Mikrotik
PS: Para tener acceso externo de su AP en su red, deberá habilitar la Función “ATIVAR GERENCIAMENTO de la Puerta WAN” de su rádio.
Simples. Basta Crear Tres Reglas no firewall. Como se demuestra Abajo:
Seleccione IP, FIREWALL
Elija “NAT”
Siga los procedimientos de abajo:

• CHAIN = DSTNAT
• DST. ADDRESS = Dirección IP do MK principal
• DST. PORT = 4040 (Puerta Principal del Firewall)
Elija “ACTION”
Siga la instrucciones de mas abajo:

• ACTION = DSTNAT
• O ADDRESS = Dirección IP do AP que desea Acceder.
• TO PORT = Puerto de acceso al AP
Confirme el nombre en COMMENT para su regla.
ATENÇION: Vea el AP que UD desea acceder para un externo AP Mikrotik, UD deberá escoger un puerto Principal TELNET (23). Si Fuera un AP radio,
escoja a puerto Principal HTTP (80) u otra escogida en radio.
deberá crear una segunda regla
Repitiendo el mismo procedimiento de arriba, pero esta vez, alterando apenas o protocolo para 17 (UDP).
Grave todo y realice una tercera regla.
En esta Regla Definirá dirección IP para su AP. Verifique con su operadora que direccion IP tiene y cual estan sobrando.
Realizar una regla como dice abajo
• CHAIN = DSTNAT
• DST. ADDRESS = Dirección IP libre, a cual será atribuido a su rádio o AP MIKROTIK.
• DST. PORT = Puerta de acesso al AP o rádio. Si Decea Acceder otro AP pelo WINBOX, seleccione un puerto 8291 (Puerto que ocupa WINBOX), si
desea acceder a un radio al puerto, podrá ser el 80 u otra PRE definida del radio.
Seleccione “ACTION”
Configurar de la Siguiente manera:

• ACTION = DST-NAT
• TO ADDRESS = Dirección IP de su radio o AP (Dirección IP da red interna)
• TO PORT = Puerta principal para o WINBOX (AP MIKROTIK) o puerta principal para radios, porta 80 (u otra Definida).
Luego..Para tener acceso a AP MIKROTIK, vaya a WINBOX, digite o IP válida definido Arriba contraseña o login. Para tener acceso a radios, abra
Internet Explorer, digite la dirección IP válido definido arriba, una ventana contraseña. Digítelo y podrá ingresar
No olvidar de Acceder los IP's válidos que serán usados Para los radios un ADDRESS LIST. Como?
Acceda a menú IP, ADDRESS LIST
Cree una nueva lista de direcciones (botón “+”)
De acuerdo con su link, coloque o nuevo IP válido, o Ip de "NETWORK o IP do BROADCAST. Defina también a interfase (en Este caso, la interfase de
salida da Internet)
Controle P2P (Muy bueno)
Aprenderá a controlar (shape) o tráfico P2P, marcando paquetes, fácilmente. Basta apenas 4 reglas, 2 en firewall ,y 2 en queue.
Diríjase a Menú IP, FIREWALL
Escoja continuación, MANGLE
Crear una nueva regla (botón “+”)
el campo "CHAIN", escoja "PREROUTING".el campo "P2P", escoja "all-p2p".

A continuación “ACTION”
En campo "ACTION", escoja "MARK CONNECTION". en campo "NEW CONNECTION MARK", de un nombre a su nuevamarcación de paquetes (por
ejemplo, dar un nombre de "p2p_conn". Seleccione la opción "PASSTHROUGH" ligada. Confirme.
En campo "CHAIN", escoja "PREROUTING". en campo "CONNECTION MARK" escoja la opción con el nombre de arriba ( En nuestro caso fue "p2p_conn".
A continuación “ACTION”
En campo "ACTION", escoja "MARK PACKET", en campo "NEW PACKET MARK", defina otro nombre (en nuestro caso, figura como "p2p". )
Confirme.
Antes de Crear estas dos reglas en firewall, será necesario crear 2 reglas mas en queue. Para Realizar:
Abra o menú, QUEUE
A Continuación "QUEUE TREE"
Cree una nueva regla (botón “+”)
Defina de acuerdo a la figura.

• NAME = Defina un nombre para la regla
• PARENT = Escoja "GLOBAL-IN"
• PACKET MARK = Escoja la opción de nombre escogida arriba Aparecerá aquí el nombre definido en regla de firewall
• QUEUE TYPE = DEFALT
• PRIORITY = 8
• MAX LIMIT = Define o limite máximo de banda reservado para o P2P. En este Caso en un Total de de 200k para p2p
Confirme...
Defina de acuerdo a figura.

• NAME = Defina un nombre para a regla
• PARENT = Escoja "GLOBAL-OUT"
• PACKET MARK = Escoja la opción de nombre escogido arriba. Aparecerá aquí el nombre definido en regla de firewall
• QUEUE TYPE = DEFALT
• PRIORITY = 8
• MAX LIMIT = Define o limite máximo de banda reservado para o P2P. En Este caso es un total de de 200k para p2p
Confirme...
Luego !!! Calma Ahora al trafico P2P, será limitado por marcación de paquetes. Esta regla es muy eficiente!!
BACKUP e restauración
Abra el menú, FILES

Para crear una copia de backup, seleccione en "BACKUP"
En "FILE NAME", aparecerá un nuevo BACKUP. Esta copia estará almacenada en HD de MIKROTIK. Para copiar este backup en otro computador, clique
en "copy" (como en la figura) y pege en cualquier parte en windows.
Para restaurar su backup, escoja una copia seleccionada en "FILE NAME" y clique en "RESTORE", como abajo
También podrá restaurar una copia de backup, que encontrándose en su windows, por ejemplo. Para realizarlo en su sistema operativo, seleccione un
archivo de backup y con botón derecho del Mouse, escoja "COPIAR" (COPY). En La Ventana de backup de MIKROTIK y clique en "paste" (como en la
figura).
Seleccione esta nueva copia do backup (aparecerá una lista) y seleccione en "RESTORE"
Para realizar a restauración do backup, reinicie en su MIKROTIK.

PD: Estamos tratando apenas de backup realizados por via "winbox", será remontamiento al propio servicio.
Limitar conexiones por cliente
Simplísimo!!
Seleccionar en menú IP, FIREWALL
Y ahora en "FILTER RULES", crear una nueva regla (botón "+" ) .
Configure de siguiente forma:

• CHAIN = FORWARD
• SRC. ADDRESS = DIRECCION del CLIENTE A CUAL APLICARÁ el LIMITE.
Sigamos en "ADVANCED"
En "TCP FLAGS", escoja la opción "SYN" (este comando es responsable por el recibimiento del requisito de conexión del cliente y también aparecerá un
aviso de que a puerto no esta disponible
Ahora en "EXTRA"
En "CONNECTION LIMIT" / "LIMIT", defina o número de conexiones máximas para este cliente.
En campo "NETMASK", defina la máscara 32 (32 significa que la regla será aplicada apenas a este IP)
Ahora abra pestaña "ACTION"
[Imagem:cliente4.png|500px]]
En "ACTION", escoja a opción "DROP".
Básicamente esta regla libera conexiones Simultáneas par un cliente, bloqueando requisiciones de conexiones siguientes al limite.
Configure de acuerdo con sus necesidades
PD: Caso se puede aplicar una regla para un rango de IPs completo, configure en IP XXX.XXX.XXX.0 y en NETMASK para 24.
Servidor PPPoE y Servidor de Clientes
Abra el menú PPP
Seleccione en "PROFILES"
Crear una nueva profile (botón "+" )
Configure este nuevo profile de acuerdo con sus necesidades. Básicamente configúrelo así:
• NAME = Nombre de profile.
• USE COMPRESSION = NO
• USE VJ COMPRESSION = NO
• USE ENCRYPTION = NO
• CHANGE TCP MSS = YES
En otros campos deje en blanco, conforme a figura de arriba.
Confirme a continuación "INTERFACES" (en LA MISMA VENTANA PPP ) y SELECIONE EL Boton "PPPoE SERVER".
En Ventana "PPPoE SERVER LIST", seleccione un nuevo servidor (botón "+" )
Configure de acuerdo con sus necesidades. Básicamente como abajo:
Parámetros:
• SERVICE NAME = Nombre del servidor PPPoE.
• INTERFACE = Interfase con que este servidor que ira a trabajar.
• MAX MTU = Tasa máxima de transmisión. Básicamente deje en 1500 para clientes con winxp por encima de 1452 para clientes con win98 para abajo
en clientes que utilizan discador RASPPPOE.
• MAX MRU = Tasa máxima de recepción. Configurar conforme arriba.
• KEEPALIVE TIMEOUT = Tiempo máximo que una conexión retornará un error. Basicamente deje en 10.
• DEFAULT PROFILE = Lembra do profile que creara? todas estas configuraciones quedaran incorporados a el. Básicamente el perfil es un método de
todas estas configuraciones
• ONE SESSION PER HOST = Esta opçion permite que login e contraseña de un cliente (registrado en el servidor pppoe), conecte por vez. Esto es
interesante, pues evita que várias personas conecten al mismo tiempo con apenas un login o contraseña. Deje marcado.
• MAX SESSION = Define o número máximo de conexiones a este servidor. Básicamente deje en blanco.
• AUTENTICATION = Para haber compatibilidades con todos los servicios de discajem disponibles, deje todas marcadas.
Podrá Crear servidores PPPoE. Cada uno atendido una determinada interface e un determinado sistema operacional, como por ejemplo abajo:
Para catastrar clientes es fácil. Para crear un servidor PPPoE, basta clicear "SECRETS"
Para crear una nueva regla seleccione el botón "+"
Configure de acuerdo con sus necesidades:

• NAME = Login del cliente Puede contener @xxxxxxx.com.br o no.
• PASSWORD =pass Word de acceso.
• SERVICE = Escoja PPPoe.
• CALLER ID = Define cual dirección MAC fijara amarrado esta conexión
• PROFILE = Define una profile que será amarrado esta conexión
• LOCAL ADRESS = Dirección del Gateway (normalmente a fija de IP utilizada con final 254)
• REMOTE ADRESS = Direccion de esta maquina (preferencialmente dentro del rango de IP do LOCAL ADRESS).
• ROUTERS = Define Ruteo. Dejar en blanco.
• LIMITY BYTES IN = Limita o número de bytes de entrada. Dejaren blanco.
• LIMITY BYTES OUT = Limita o número de bytes de salida.
Confirme todo luego. En computador del cliente basta seleccionar en conexión PPPoE con esta contraseña o login, mandar conectar.
Amarrar faixa de IP no DHCP
Uno de los recursos mas interesantes en redes es el DHCP, atodavia me pregunto como los administradores consiguen trabajar sin el, pues hace el
trabajo de configurar de interface de redes, sea Linux, Windows u otra cualquier, con un DHCP pude alterar las configuraciones de gateway, DNS, rango
de IP de clientes y máscara todo sin precisar ir a la casa de el cliente, Podra altera en Mikrotik y puede reparar las redes sin reiniciar su computador y
esta todo resuelto.
Resolví dar mi contribución en este Wiki sobre este asunto que tanto gusto y convivo todos los dias.
Comience Clickeando en opción IP
-> POOL
Clicke en boton "+" y adicione un pool1 Em address: podrá coloca un rango de redes que dese atribuir a los clientes. Ex: 192.168.2.5-192.168.2.199
está bien claro ahora Clicke en OK
Después Clicke en IP -> DHCP Server: Clicke en botón "+" y e adicione un SERVER:
En Mismo menú, clicke "Networks" :

Clicke a Leases: y nela que vc va amarrar los IPs en DHCP
Pronto su DHCP Server está atibado.
Marivaldo.
Configurando o HOTSPOT
Para configurar un Hotspot utilizando o Winbox, es necesario que las interfaces esten configuradas en online. Vaya al menú IP -> Hotspot:
En seguida, clicke en Setup. la imagen a seguir muestran las principales configuraciones:
en imagen 1, Seleccione en cual interfase están los clientes del Hotspot. En imagen 2, Podrá ingresar la dirección, podrá dar la interface o atribuir otra
para un Hotspot. EN imagen 3, escoja un rango e IPs que los cliente usario , y por último, defina un DNS válido para esta red.
Al final de estos pasos, Tendrá que Crear un primer usuario para acceder un Hotspot. El Propio asistente sugiere un Usuario Admin, digite una
Contraseña para esto, el asistente concluirá a configuración
Ahora podrá testear, dentro da red local, basta con intentar acceder cualquier dirección, externo, digite un usuario y pas Word.
Configuraciones dos tarjetas Wireless
Entendiendo cada función del menu de WINBOX ***En CONSTRUccion**
- El primer Menú del lado izquierdo chama-se " Interfaces ", en el que se consigue configurar dos dispositivos físicos conectados al mikrotik, tais como
placas de rede, placas wireless etc ..; en este menú también que se cadastra a interfaces virtual como PPoe server, bridge, virtualap e etc ... basta
apenas clicar en Sinal de "+" y adicionar una interfase deseada.
- Responde también por comando " interfase " en Terminal de mikrotik.
-El segundo menu, - Wireless - É nele que se puede habilitar y deshabilitar las interfaces wireless ( Como tarjetas PCMCIA - Minicar-PCI Wireless ( Basta
apenas clicar en Sinal de "+" y adicionar a interfase deseaada. )
Instalación de MIKROTIK (Link Dedicado)

==Instalación de MIKROTIK (ADSL
Configurando Servidor de Hora Automático
Aprenderá a configurar servidores NTP (network time protocol) automáticamente en mikrotik, vía servidor de Internet... Muy útil para quien trabaja con
reglas basadas en horario y ahora no tendrá la hora herrada, adelantada o atrasada
Primer procedimiento, abra el menú "NTP CLIENT"
Configure como abajo:

• MODE - Escoja a opçion "UNICAST"
• PRIMARY NTP SERVER = 159.148.60.2
• SECONDARY NTP SERVER = 159.148.60.2
Luego configurar, apriete en Boton "ENABLE"
Abra el menú "CLOCK"
Configure en campo "Time Zone" de acuerdo al horario de su Ciudad
Deberá configurar el horario mundial (Greenwich). Aquí en Rio de Janeiro, hay-2:00 de diferencia.
Ahora no precisa mas, solo preocúpese que la hora se verdadera en su sistema!!!
Lista de SCRIPTS e recomendaciones utiles
Lista de Scripts
TODOS LOS SCRIPTS DEVEN SER Ingresados VIA WINBOX EN MENU SYSTEM>SCRIPTS OU VIA "NEW TERMINAL" /system script
SCRIPT PARA REBOOTAR AUTOMATICAMENTE

• add name="reboot" source="/system reboot" \
• policy=ftp,reboot,read,write,policy,test,winbox,pa ssword
SCRIPT PARA PARA WEB-CACHE
• add name="Parar_Proxy" source="/ip web-proxy set enabled=no" \
SCRIPT PARA LIMPAR WEB-CACHE

• add name="Limpar_Proxy" source="/ip web-proxy clear-cache" \
SCRIPT PARA RENICIALIZAR WEB-CACHE

• add name="Criar_Proxy" source="/ip web-proxy set enabled=yes" \
SCRIPT PARA BACKUP AUTOMÁTICO De MIKROTIK

• add name="backup_diario" source="/sy ba sav name=mk_bkp.backup" \
SCRIPTS PARA HABILITAR y DESABILITAR TODA la BANDA
DESABILITA
• add name="queue_disable" source="/queue simple { disable \[find \
• name=LIBERA_Todo] }" \
HABILITA
• add name="queue_enable" source="/queue simple { enable \[find \
• name=LIBERA_TUDO\] }" \
Consejos Utiles
Deven ser aplicados via winbox (menus system>scheduler) en via "new terminal" en / system scheduler
Consejo para REBOOT DE 15 EM 15 DIAS

• add name="reboot" on-event=reboot start-date=nov/15/2006 start-time=06:05:00 \
• interval=4w2d comment="REBOOT DE 15 EM 15 DIAS" disabled=no
Consejo para MANTENCION AUTOMÁTICA De WEB-PROXY (5 en 5 DIAS
• add name="Parar_Proxy" on-event=Parar_Proxy start-date=nov/15/2006 \
• start-time=05:00:00 interval=5d comment="" disabled=no
• add name="Limpar_Proxy" on-event=Limpar_Proxy start-date=nov/15/2006 \
• start-time=05:03:00 interval=5d comment="" disabled=no
• add name="Criar_Proxy" on-event=Criar_Proxy start-date=nov/15/2006 \
• start-time=05:10:00 interval=5d comment="MANUTEN O AUTOM TICA DO \
• WEB-PROXY" disabled=no
Consejo para BACKUP AUTOMÁTICO DE 6 EM 6 HORAS
• add name="backup diario" on-event=backup_diario start-date=jan/16/2007 \
• start-time=00:00:00 interval=6h comment="CRIA BACKUP DE 6 EM 6 HORAS" \
• disabled=no
Configurando Liberación Automática de Banda por hora determinada
LOADBALANCE - Vision General y Aplicacion

Balanceamento de carga
Todo o hardware tiene sau limite, e muchas veces un mismo servicio tiene que ser repartido para varias maquinas, so pena de tener congestionamiento.
Estas soluciones pueden ser especializadas en pequeños grupos sobre los cuales se hace un balanceamiento de carga: utilizando la CPU, de
almacenamiento, de redes. Cualquiera de las intrusiones o conceptos de clustering, en su server realíce ahora el balanceamiento será, probablemente,
efectivo para varios servidores.
Balanceamiento de almacenamiento (storage)
O balanceamento do suporte de armazenamento permite distribuir o acesso a sistemas de ficheiros por vários discos (software/hardware RAID), pelo
que derivam ganhos óbvios em tempos acesso. Estas soluções podem ser dedicadas ou existir em cada um dos servidores do cluster.
• Soluções
• RAID
• Storage Area Network
Figura 1 - Balanceamiento de carga (NAT).
Figura 2 - Balanceamiento de carga (Direct Routing).

Balanceaminto de rede
El balanceamiento para utilizarlo en redes paso sobre todo por realizar trafico en caminos alternativos para descongestionar los accesos a los servidores.
Este balanceamiento puede realizarse en cualquier nivel de comando OSI.
La Figura 1 sugiere la existencia de un mecanismo/dispositivo responsable para el pelo balanceamiento (director). La Verdad de la existencia sobre varias
formas, dependiendo(s) serviçio(s) que se pretende balancear. Este director sirve también de interfase entre o cluster de servidores y dos clientes do(s)
servicio(s) – todos los clientes que se conecten en la direccion semi-público de este servidor. Esta Regla (clásica) Limita en tiempos de escalabilidad,
números de tramas que el director consigue redirecionar, principalmente debido a la velocidad de dos controladores de placas de redes. Existen, no en
tanto, otras soluciones mas complexas que realizan mejor partido de las características do protocolo TCP/IP en conjunto con ruteo especializado (NAT, IP
Tunneling, Direct Routing).
Ejemplo:Un ejemplo de un metodo a utilizar técnicas de balanceamiento de carga de la própria Wikimedia Fundacion de sus proyectos. En Junio de
2004, la carga era balanceada usando una combinación de:
Round robin DNS, que distribuye los pedidos uniformemente para uno, dos y tres servidores de cache Squid;
Estos servidores de cache usan los tiempos de respuesta para distribuir los pedidos para cada uno de los siete servidores de páginas. En medio, los
servidores Squid ya tienen en cache páginas suficientes para satisfacer 75% dos pedidos en secuencia consultan los servidores de páginas; los scripts
PHP que forman la aplicación distribuyen la carga para varioss servidores de base de dados dependiendo del tipo do pedido, como las actualizaciones
para un servidor primario en consultas para uno o mas servidores secundarios.
Soluciones (software) Existen soluciones que operan exclusivamente en apenas algunas niveles do Modelo OSI:
• Nivel 4: Linux Virtual Server
• Nivel 5/6/7: Zeus Load Balancer
Balanceamiento de CPU
Este tipo de balanceamiento es efectuado en los sistemas de procesamiento distribuídos, consiste, básicamente, en dividir la carga total de
procesamiento para vários procesadores del sistema
6.2 La Tecnología NAT
Introducción. El uso de Internet crece exponencialmente y se ha convertido en un requisito indispensable para los hogares y las
microempresas. Network Address Translation, NAT es un método de conexión múltiple a la Internet (o a cualquier otra red IP) de
computadoras que usan una dirección IP (Internet Protocol). Esto permite que los usuarios se conecten a Internet de una manera económica y
eficaz. El uso creciente de NAT se debe a ciertos factores: 1) escasez mundial de direcciones IP, 2) necesidad de seguridad 3) facilidad y
flexibilidad de la administración de la red.
1) Direcciones IP. En una red IP, cada computadora se localiza mediante una única dirección IP. En la versión actual de protocolo IP, las
direcciones se escriben normalmente de la forma en donde describen un byte respectivamente por lo que una
dirección IP ocupa 4 bytes. Por ejemplo 16843003 (hex 1010101) es escrita como 1.1.1.1 así, cada byte de esta dirección tiene el valor de 1.
Puesto que una dirección es de 4 bytes, el número total de posibles direcciones es . Esto representa el número total
teórico de computadoras que pueden estar directamente conectadas a Internet. En la práctica, el límite real es mucho menor por varias
razones, cada red física tiene que tener un número único de red ocupando cada uno de los bits de la dirección IP, el resto de los bits se
utilizan como el número de ordenador, únicamente para identificar a cada computadora en la red. La cantidad de números de red que pueden
ser asignados es, por lo tanto, mucho menor que 4 mil millones y es increíble que todos estos números estén ya asignados.
Una dirección de divide en dos partes: el número de red y el número de computadora, la idea es que todos los ordenadores en la red física
tengan en mismo número de red. El tamaño de la red y las partes de la computadora depende de la clase de dirección y es determinada por la
dirección máscara de red. La máscara de red es una máscara binaria con unos en la parte de la red y ceros en la parte del ordenador.
Para permitir un rango de redes grandes con muchas computadoras, o redes pequeñas con pocos ordenadores, el espacio de la dirección IP se
divide en cinco clases de direcciones, llamadas clase A, B, C, D y E, respectivamente. El primer byte de la dirección de red determina la
clase de dirección a la que pertenece. Si el primer byte de la dirección de red está entre 1 y 126 pertenece a la clase A, las cuales pueden
tener cerca de 17 millones de computadoras cada una. La clase B es para direcciones de red cuyo primer byte está entre 128 y 191 y pueden
tener cerca de 65,000 ordenadores cada una. Las direcciones de red con el primer byte entre 192 y 223 son de clase C y pueden tener 256
ordenadores. El resto de las redes son clase D que se usan para funciones especiales o clase E las cuales están reservadas.
La mayoría de las direcciones de las clases A y B ya fueron asignadas quedando disponible únicamente de la clase C. Esto significa que el
número de direcciones disponibles en Internet es menor que 2,147,483,774. A cada región principal del mundo se le otorga una cierta
cantidad de estas direcciones y es la responsable de asignarlas a los Proveedores de Servicios de Internet y a otros muchos consumidores.
Debido al requerimiento de encaminamiento, una red determinada de clase C (256 direcciones) tiene que asignarse a un usuario a la vez; el
usuario (por ejemplo un proveedor) es el responsable de distribuir estas direcciones a sus clientes.
Mientras que el número de direcciones disponibles se ve muy grande, Internet crece a grandes pasos y pronto estas direcciones se agotarán
si tenemos en cuenta que en un futuro cercano, multitud de dispositivos como teléfonos móviles UMTS o electrodomésticos estarán
conectados a Internet de forma permanente (con dirección IP fija), el uso de NAT será insuficiente para satisfacer tal demanda de
conectividad hasta que la próxima generación del protocolo IP, versión 6 (IPV6), permita más direcciones. Pero, tomará años antes que la
infraestructura existente de red se transfiera al nuevo protocolo.
Dado que las direcciones IP es un recurso escaso, la mayoría de los proveedores de Internet asignan una sola dirección a cada usuario. En la
mayoría de los casos, esta dirección se concede dinámicamente. Así, cada vez que un usuario se conecte al proveedor, le será asignada una
dirección diferente. Las grandes compañías pueden adquirir más direcciones, pero no las microempresas y los usuarios particulares ya que su
coste lo hace imposible. Ya que a los usuarios se les otorga una sola dirección IP, éstos pueden tener, a la vez, una sola computadora
conectada a Internet. Con una entrada NAT corriendo en esta única computadora, es posible compartir la dirección única con múltiples
computadoras locales, conectándolas todas al mismo tiempo. La gente del exterior no se da cuenta de esta división, y cree que es una sola
computadora la que está conectada.
2) Consideraciones de seguridad. Mucha gente concibe a Internet como un camino de un solo sentido, se olvidan de que mientras su
computadora está conectada, Internet también está conectada a la computadora. Esto significa que cualquier gente con acceso a la Red,
puede potencialmente tener acceso a recursos en las computadoras (tales como archivos, correos electrónicos, red de la compañía, etc.). La
mayoría de los sistemas operativos de la computadora personal no están diseñados con seguridad, dejándolos al descubierto de ataques a la
Red para realizar cosas indeseables. Muchas nuevas tecnologías tales como Java y Active X han reducido actualmente la seguridad ya que es
posible para un Java applet o un control Active X tomar el control de la computadora cuando ésta está funcionando. Muchas veces no es
posible detectar que estos applet están corriendo. Únicamente se requiere ir al sitio Web y el buscador automáticamente lo cargará y hará
correr a cualquier applet especificado dentro de la página.
Las implicaciones de seguridad en esto son muy serias. Para usuarios particulares significa que la información personal sensible, tales como
correos electrónicos, correspondencia o detalles financieros pueden ser robados. Para usuarios comerciales las consecuencias pueden ser
desastrosas; si la información confidencial de la compañía tales como planes del producto o estrategias de comercialización son extraídos,
conduciría a pérdidas financieras importantes o aún peor, causar la quiebra de la empresa.
Para combatir el problema de seguridad, existe un producto llamado cortafuego que se coloca entre el usuario y la Internet y verifica todo el
tráfico antes de permitir que éste pase. Esta herramienta, por ejemplo, no permite tener acceso a la documentación de la compañía o al
servidor de correo electrónico a un usuario no autorizado. El problema del uso de los cortafuegos es que son más costosos, difíciles de
instalar y de mantener, poniéndolos fuera del alcance de microempresas y de usuarios particulares.
La tecnología NAT proporciona automáticamente, la protección estilo cortafuego sin ninguna disposición especial. Esto es porque permite
solamente las conexiones que se originan en la red interior. Esto quiere decir, por ejemplo, que un usuario interno puede conectarse en un
servidor de salida FTP (File Transfer Protocol) pero, un usuario externo no podrá conectarse con el servidor FTP interno porque tendría que
empezar la conexión y NAT no lo permitirá. Es aún posible hacer que algunos servidores internos disponibles aparezcan a la luz pública vía
verificación de entrada, ya que ciertos registros conocen bien los puertos TCP (por ejemplo 21 para FTP) de direcciones internas específicas,
esto hace que servicios disponibles tales como FTP o Web estén de cierta manera controlados.
Muchos paquetes TCP/IP (Transmission Control Protocol/Internet Protocol) son susceptibles a los ataques con protocolos de bajos nivel
tales como "SYN flood" o "Ping of Death". Estos ataques no comprometen la seguridad de la computadora sino que pueden hacer que los
servidores truenen, dando como resultado "negaciones de servicio" altamente perjudiciales, tales ataques pueden causar estragos en la red y
pueden utilizarse como cloaca en futuras rupturas de seguridad. NAT, que no utiliza el paquete del protocolo de la máquina sino que lo suple
por el suyo, ofrece la protección de estos ataques. Ver Figura 1.
Figura 1: NAT
3) Consideraciones administrativas. Las redes IP son más difíciles de instalar que las computadoras de red en área local (LAN), cada
computadora requiere una dirección IP, una máscara de subred, la dirección del DNS, el nombre de dominio y un router por defecto. Esta
información tiene que instalarse en toda computadora de la red, Si una parte de la información es incorrecta, la conexión de la red no
funcionará y generalmente no existe indicación de cuál es el incorrecto. En redes más grandes, la tarea de coordinar la distribución de
direcciones y de dividir la red en subredes, es tan complicada que requiere de un experto en redes. NAT ayuda en la administración de la red
de varias maneras:
 Divide una gran red en varias más pequeñas. La parte más pequeña es la que únicamente expone la dirección IP al exterior, lo que significa que
puede adicionarse o quitarse algunas computadoras o sus direcciones pueden ser cambiadas sin afectar las redes externas. Con una verificación
de entrada, es incluso posible mover servicios (tal como servidores de Web) a una computadora diferente sin tener que realizar un cambio en
usuarios externos. Ver figura 2.
Figura 2
 Algunas entradas NAT modernas, contienen un servidor DHCP (Dynamic Host Configuration Protocol) el cual permite que las computadoras del
usuario se configuren automáticamente. Cuando la computadora se enciende, ésta busca en el servidor DHCP y obtiene la información TCP/IP
requerida. Los cambios de la configuración de la red se realizan centralmente en el servidor y afecta a todos los usuarios; el administrador no
necesita aplicar el cambio a cada computadora en la red. Por ejemplo, si la dirección del servidor DNS cambia, todos los usuarios la próxima vez
que accedan al servidor DHCP, automáticamente empezarán a utilizar la nueva dirección.
 Muchas entradas NAT proporcionan una manera de restringir el acceso a Internet. Esto permite a los administradores controlar el acceso de
material dudoso.
 Otra característica útil es el tráfico de registros (logging): puesto que todo el tráfico desde y a Internet tiene que pasar a través de una entrada
NAT, NAT puede grabar todo el trafico de un documento log. Este documento puede usarse para generar varios informes del tráfico, tales como
interrupciones de tráfico por el usuario, por el sitio, por la conexión de red, etc.
 Dado que las entradas NAT operan mediante paquete de nivel IP, la mayoría de ellos tiene capacidad incorporada de encaminamiento en la red
interna de trabajo. Las redes internas de trabajo puede dividirse en redes secundarias separadas (con diversas espinas dorsales o compartiendo
una misma espina dorsal) que simplifica más la administración de la red y permite que más computadoras se conecten a la red. Ver figura 3.
Figura 3
Una desventaja, de NAT es que añade complejidad de mantenimiento y uso de recursos de computación en los routers. Los routers que
realizan NAT tienen que reasignar las direcciones IP de cada uno de los paquetes entrantes o salientes a la red, lo cual es una sobrecarga
grande de CPU respecto a su misión original, que es simplemente encaminar los paquetes.
NAT y proxies. La palabra proxy se utiliza para indicar cualquier mecanismo que actúa a favor de alguien. Este término se usa
frecuentemente, para indicar que una Web está protegida. Un proxy de Web actúa como un servidor de Web "intermedio": cuando los
usuarios de la red de trabajo realizan solicitudes al proxy, éste a su vez, realiza solicitudes al servidor de Web indicado. La tecnología del
proxy, es vista como una manera alternativa de proporcionar el acceso compartido a una conexión única a Internet. Los principales
beneficios de una red protegida son:
 Registro local oculto. Un proxy puede almacenar páginas de acceso en el disco duro local; cuando estas páginas son requeridas, proxy hace uso
de sus archivos locales en lugar de descargar los datos de un servidor lejano. Los proxies que realizan depósitos son llamados comúnmente
servidores de registro proxy.
 Conserva el ancho de banda de la red. Si más de un usuario solicita una misma página, proxy realiza una sola petición a un servidor lejano y
distribuye el dato recibido a todos los usuarios que la están solicitando.
Los beneficios anteriores sólo llegan a ser visibles en donde una multitud de usuarios acceden a los mismos sitios y comparte los mismos
datos.
Diferente a NAT, una Web con proxy no es una operación transparente, ésta debe ser apoyada explícitamente por el usuario. Debido a la
pronta aceptación de las Web con proxy, la mayoría de los buscadores, incluyendo Internet Explorer, Netscape Communicator, tienen
incorporada ayuda mediante proxies, pero la configuración debe hacerse regularmente en cada máquina y puede ser cambiada por un usuario
ingenuo o malicioso.
Una red protegida tiene las siguientes desventajas:

El contenido en la red es cada vez más dinámico debido al desarrollo de videos y audio los cuales se utilizan intensamente. La mayoría de
los nuevos formatos no son registrados por el proxy, eliminando una de las ventajas principales del servicio de registro proxy.
Los clientes tienen que ser agrupados explícitamente para utilizar una Web protegida; siempre que exista un cambio (por ejemplo, cuando se
cambia el proxy a una nueva dirección IP), todos y cada uno de los usuarios tienen que ser reinstalados.
Un servidor proxy actúa sobre el nivel TCP y utiliza el paquete del protocolo incorporado a la máquina. Para cada solicitud de Web de un
usuario, se tiene que establecer una conexión TCP entre la máquina proxy y el servidor lejano de Web. Esto causa mucha tensión en la
máquina del servidor de proxy, ya que cada vez las páginas son más complicadas y el proxy, por si mismo, puede llegar a formar un cuello
de botella. Esto contrasta con NAT que opera mediante un paquete nivel y requiere mucho menor proceso para cada conexión.
Operación de NAT. El propósito básico de NAT es multiplexar (técnica que permite transmitir comunicaciones a través de un único canal)
el tráfico desde la red interna de trabajo y presentarlo a Internet como si viniera de una única computadora con una sola dirección IP. Los
protocolos TCP/IP incluyen una facilidad de multiplexado de modo que cualquier computadora pueda mantener conexiones simultáneas
múltiples con una computadora lejana. Es esta facilidad de multiplexación la llave para una dirección única NAT. Para multiplexar varias
conexiones a un único destino, se empaquetan todas las etiquetas de las computadoras del usuario con un único "número de puerto". Cada
paquete IP inicia con un encabezado que contiene la fuente, direcciones de destino y números de puerto. Es decir, contiene la dirección de la
fuente, el puerto fuente, la dirección de destino y el puerto de destino. Esta combinación de números define totalmente una sola conexión
TCP/IP. Las direcciones específicas de dos máquinas, una en cada extremo y dos números de puerto, aseguran que cada conexión entre este
par de máquinas sea identificada como única.
Cada conexión se origina por separado desde el número de puerto fuente del usuario, y todos los paquetes de la contestación desde el
servidor lejano, contienen el mismo número de puerto de destino, de manera que el usuario pueda regresarlos de nuevo a la dirección
correcta. En este sentido, por ejemplo, es posible para un buscador de Web preguntar al servidor de Web por varias imágenes y a la vez saber
como juntar las partes de las respuestas y regresarlas todas juntas.
Una salida NAT moderna, puede cambiar la dirección de la fuente de cada paquete saliente para que sea una sola dirección pública. Por lo
tanto, renumera los puertos fuente para que sean únicos, de modo que no pueda perderse de vista cada conexión del usuario. La entrada NAT
utiliza una tabla portuaria de confirmación para recordar cómo numeró los puertos de cada paquete saliente del usuario. La tabla de
confirmación de puerto expone, la dirección IP local real del usuario y del puerto fuente así como el número de puerto fuente de traslado. La
entrada NAT puede por lo tanto, invertir el proceso para regresar paquetes y encaminarlos de nuevo a los clientes correctos.
Cuando cualquier servidor lejano responde a un usuario con NAT, los paquetes entrantes tendrán la misma dirección de destino pero, el
número de puerto de destino será el número único del puerto fuente que fue asignado por NAT. La Tabla NAT coteja en su tabla de
confirmación de puerto, para poder determinar la dirección real del usuario y el número de puerto al que el paquete fue destinado y remplaza
estos números antes de pasar el paquete al usuario local. Este proceso es totalmente automático. Cuando un paquete se recibe de un usuario
interno, NAT busca en la tabla de confirmación de puertos, la dirección y puerto fuente que hacen pareja. Si la entrada no se encuentra, crea
una nueva y le asigna un nuevo puerto de confirmación al cliente.
Cada cliente tiene asociado un tiempo inactivo de salida, que se reajusta cada vez que el usuario recibe un nuevo tráfico. Cuando el tiempo
de salida expira, el cliente es removido desde la tabla. La longitud de este tiempo varía, pero tomando en cuenta variaciones de tráfico en
Internet no rebasa los dos o tres minutos. La mayoría de las implementaciones NAT siempre pueden monitorear usuarios TCP en la base de
cada conexión y, removerlos de la tabla tan pronto como se cierre la conexión. Esto no es posible para tráfico UDP (User Datagram
Protocol) ya que no es conexión básica.
Muchos protocolos TCP/IP de más alto nivel muestran la información de la dirección del usuario en el paquete. Por ejemplo, durante una
transferencia "activa" de FTP el cliente informa al servidor de su dirección IP y el número de puerto, luego espera para que el servidor abra
una conexión en esta dirección. NAT supervisa estos paquetes y los modifica en el acto para luego reemplazar la dirección IP del usuario (lo
que está en la red interna de trabajo) con la dirección NAT. Como esto cambia la longitud del paquete, los números de la secuencia
conocida, pueden modificarse también. La mayoría de los protocolos pueden ser asistidos por NAT; sin embargo, algunos de ellos pueden
requerir que el usuario se entere por si mismo de la existencia de NAT y participe en el proceso de conversión de la dirección (o NAT
puede ser un protocolo sensible de modo que la dirección implantada o el dato portuario pueda supervisarse o modificarse).
Como la tabla portuaria de verificación relata la información completa de la conexión fuente, la dirección de destino y los números de
puerto, es posible validar parte o toda esta información antes de pasar los paquetes encomendados de regreso al usuario. Esta comprobación
ayuda a proporcionar la protección eficaz del cortafuego de ataques lanzados en la Internet contra LAN privado.
Cada paquete IP contiene también, las sumas de comprobación que son calculadas por el emisor. Éstas son recalculadas y comparadas por el
receptor para ver si el paquete ha sido alterado en su trayecto. La verificación de las sumas depende del contenido del paquete. Como NAT
debe modificar la dirección del paquete y números de puerto, debe también recalcular y remplazar las sumas de la verificación. Un diseño
cuidadoso en el software de NAT asegura de que este proceso adicional tenga un efecto mínimo en el rendimiento de entrada. Antes de hacer
esto, debemos verificar y desechar cualquier paquete alterado para evitar convertir un paquete malo en bueno.
PAT. (Port Address Traslation). PAT resuelve conflictos en direcciones IP remplazando direcciones sin registrar en paquetes IP por
direcciones registradas. Las direcciones IP registradas son encaminables en Internet (también son referidas como direcciones públicas IP).
Las direcciones sin registrar o direcciones privadas IP, son direcciones no encaminables, comúnmente utilizadas hoy en día en la mayoría de
redes internas. Es un caso especial de NAT dinámico conocido como enmascarado, que llegó a ser famoso bajo este nombre, debido a la
puesta en práctica de Linux. Este es el tipo de técnica NAT que se usa con más frecuencia actualmente. Aquí, muchos números IP se ocultan
detrás de otros. En contraste con el NAT dinámico original, esto no significa que pueda haber únicamente una conexión a la vez. En PAT a
lo más, un número arbitrario de conexiones son multiplexadas usando el puerto de información TCP. El número de conexiones simultáneas
está limitado sólo por el número de puertos TCP disponibles.
PAT se construye funcionalmente en mecanismos tales como routers de red, cortafuegos, routers ISDN y tecnologías NAT independientes.
PAT verifica conexiones de salida de direcciones IP no registradas o direcciones privadas IP en la red externa usando puertos diferentes para
cada conexión. PAT usa una característica del paquete del protocolo TCP/IP que multiplexa, esto permite que una computadora mantenga
varias direcciones concurrentes con una o varias computadoras alejadas que utilizan diferentes puertos TCP o UDP. Un paquete IP tiene una
cabecera que contiene la información siguiente:
 Dirección fuente. La dirección IP de la computadora original tal como 192.168.18.223.

 Puerto fuente. número de puerto TCP o UDP asignado por la computadora original, tal como 3021.
 Dirección de destino. La dirección IP de recepción de la computadora, tal como 201.3.83.132.
 Puerto de destino. El número de puerto TCP o UDP que la computadora original esta solicitando a la computadora receptora tal como 1080.
La dirección fuente no registrada es reemplazada por una dirección registrada por un router NAT y le asigna un número único de puerto, por
ejemplo, 192.168.18.223 es remplazado por 198.139.45.11 y le asigna el número de puerto 63540 para asegurar que la conexión entre las dos
computadoras tiene un identificador único. La combinación de esos cuatro números define una única conexión TCP/IP o zócalo
198.139.45.11.63540 201.3.83.132.1080.
La computadora fuente podría conectar con la misma máquina de destino asignando un puerto fuente distinto. Esto crearía una única
conexión TCP/IP creando un zócalo único 198.139.45.11.63541 201.3.83.132.1080. Por asignación de un número único de puerto para cada
conexión de salida, NAT puede crear conexiones múltiples usando una sola conexión IP compartida. Cada número de puerto utiliza 16 bits,
lo que quiere decir que hay 65,536 valores posibles.
Realmente, como diversos tipos de manufacturas de cortafuegos verifican levemente los puertos de diferentes maneras, se puede esperar
tener cerca de 4,000 puertos disponibles. Un problema especial de PAT es que algunos servicios de ciertos ordenadores sólo aceptan
conexiones que vienen de puertos privilegiados para asegurarse de que no vienen de un usuario no deseado. La mayoría de las
implementaciones de PAT usan puertos no privilegiados para evitar interferir con las conexiones "regulares" a esos puertos. PAT
habitualmente utiliza puertos en el rango superior, el cual típicamente inicia en el puerto 61,000 y termina en 61,000 + 4096, el cual es
asignado por defecto por IANA (Internet Assigned Number Authority) y configurable en la mayoría de los cortafuegos. Esto también
muestra que la implementación típica por defecto sólo permite 4096 conexiones concurrentes.
Para que PAT permita conexiones en puertos de salida de tales rangos, requiere guardar y manejar aún más la información acerca del estado
de las conexiones. Linux por ejemplo, trata simplemente todos los paquetes con IP de destino = IP local y puerto de destino dentro del rango
usado para enmascarar. Es decir, son las respuestas de paquetes que han sido enmascarados en su salida. Las conexiones entrantes son
imposibles con PAT tradicional ya que cuando una computadora tiene una entrada en la tabla de máscaras de NAT esta entrada es válida
sólo para la conexión que está activa. Inclusive contestaciones ICMP que pertenecen a conexiones (puertos de máquinas inalcanzables) no
consiguen pasar automáticamente al remitente pero deben ser filtradas y re-trasmitidas por el software del router NAT.
Si bien es cierto que las conexiones entrantes son imposibles, se puede tomar medidas adicionales para aceptarlas, pero no son parte del
código máscara. Podríamos por ejemplo, instalar NAT de modo que re-trasmita todas las conexiones entrantes desde el exterior al puerto
Telnet, a una computadora del interior. Sin embargo, como se tiene una sola dirección IP, que es visible en el exterior para permitir las
conexiones entrantes, para el mismo servicio, pero para diferentes computadoras internas, se debe poner atención en diferentes puertos
dentro de NAT, uno para cada servicio e IP interno. Puesto que la mayoría de las aplicaciones ponen atención en puertos bien conocidos que
no pueden ser fácilmente (y ¡transparentemente!) cambiados, esto es absolutamente incómodo y frecuentemente no es opción, especialmente
para servicios públicos. La única solución es tener tantos IPs (externos) como el número de servicios que serán proporcionados. Si un IP
externo se puede compartir aún por diferentes servicios, y después ser re-verificado para diferenciar el IP interno usando NAT, pero que no
es parte de PAT. Para conexiones de entrada, se utiliza una forma muy especial de NAT conocida como RPAT (Reverse Port Address
Translation) vista más adelante.
Ejemplo de la regla PAT. La máscara de la red interna 138.201, usando un router NAT, la dirección propia de cada paquete saliente de la
fuente IP es remplazado por el router (externo) IP, y el puerto fuente es cambiado por un puerto no utilizado en el rango reservado
exclusivamente para máscaras en el router, si el destino IP de un paquete entrante está en el router local IP, y el puerto de destino está dentro
del rango de máscaras de puertos usados en el router, NAT verifica su tabla de máscaras sí el paquete pertenece a la sesión enmascarada; si
éste es el caso, el destino IP y el puerto de la computadora interna, es insertado y el paquete es enviado a la computadora interna.
La mayor ventaja de PAT para mucha gente, es que sólo necesitan una dirección IP oficial para que toda la red interna pueda tener acceso a
Internet. Esto es importante porque, como se mencionó anteriormente, las direcciones IP han llegado a ser excesivamente costosas. Tanto
que existe un nivel de aplicación de entradas que no necesitan IPs o cualquier clase de NAT y una IP es más que suficiente. Este principio
ha sido aplicado en el desarrollo de RPAT.
RPAT. (Reverse Port Address Translation). Este router implementa la misma metodología que PAT pero en reversa, es una forma de
convertir direcciones de red que ya muchos cortafuegos contemplan. RPAT permite usar una sola computadora conectada a Internet con una
dirección "real" IP como una entrada para máquinas que no están conectadas y sin registro de dirección privada IP. La entrada con una
dirección pública IP, maneja paquetes verificados desde Internet a direcciones privadas de las computadoras en la red interna o privada. Esto
permite conectividad bi-direccional entre computadoras en Internet y computadoras de redes privadas. En lugar de verificar conexiones de
salida de direcciones IP privadas múltiples sin registro a una dirección IP única, éste verifica las conexiones múltiples de salida desde la red
pública para direcciones privadas o sin registro en la red interna, usando una sola dirección pública IP y un puerto diferente para cada
conexión de entrada.
RPAT utiliza el mismo dispositivo que en el paquete del protocolo TCP/IP para multiplexación inversa, que permite a una computadora
mantener varias conexiones concurrentes con una computadora o varias computadoras lejanas, utilizando puertos TPC o UDP diferentes.
RPAT utiliza un comando pasivo, comúnmente utilizado para conectividad FTP, como el método de establecimiento y notificación de
puerto. El comando pasivo es una tecnología estándar de red que representa un comando de conexión restringida. El comando pasivo es
utilizado por RPAT de una manera totalmente única para establecer un método NAT para que direcciones no encaminables de
computadoras privadas, puedan ser accesibles por Internet. Una conexión llega a un puerto del canal de comando y es redirigido al puerto del
canal de datos. En RPAT, el comando pasivo se utiliza para asignar un puerto a la conexión de entrada y notificar al usuario de Internet de
este puerto. En RPAT, de la conexión IP del iniciador A a la conexión del respondedor B, primero realiza la búsqueda del nombre DNS de
B; esto marca el inicio de una sesión A, se asume una partición del DNS en donde el nombre de la computadora del respondedor B es
localizado en un DNS interno, que no es accesible por Internet. RPAT se despliega como un proxy inverso para que el servidor interno DNS
permita el conjunto de reglas para ser aplicado en cualquier petición al DNS interno.
En RPAT, el usuario A inicia una resolución y la conexión de acceso. El uso de programas tales como resolver (discernidor de imágenes) y
forward (re-enviar) que son estándares de BIND, ofrece resoluciones a preguntas de direcciones en un sistema distribuido que permite al
DNS externo re-enviar esta petición a RPAT pasivo. Resolver incluye una dirección de un DNS que sirve como nombre primario del
servidor. Cuando está presentado con la referencia del nombre de dominio (Por ejemplo, http://www.canarias.com), resolver envía una
petición al DNS primario (Por ejemplo, DNS_A en la figura 4).
Figura 4
El DNS primario regresa la dirección IP registrada a este dominio, o bien simplemente implementa el directorio forward a otro DNS que ha
registrado la dirección o una dirección IP parcial con una referencia a otra DNS que tiene más información de direcciones IP.
En la figura 4, un DNS interno re-envía la resolución a un DNS externo, que realiza una resolución DNS convencional dirigiéndose al
buscador (o aplicaciones del usuario) de un servidor raíz que re-envía la petición a un DNS de segundo nivel, el cual, a su vez re-envía la
petición al sistema adueñado por el servidor DNS (es decir DNS_A). El DNS externo, DNS_A, dirige entonces la petición usando el
forward directivo a RPAT pasivo observa al DNS interno para la resolución y entonces protege la dirección de destino de la computadora
pasiva requerida en resolución.
La operación Lookup (de búsqueda) tiene dos propósitos, primero, el nombre del DNS que identificará únicamente al respondedor, aunque
no tenga dirección IP única. Y segundo, cuando el DNS pregunta, es re-dirigido por RPAT pasivo al DNS interno; la computadora privada
IP es un límite para las direcciones IP del RPAT pasivo en resolución, asignando un único número de puerto para identificar la conexión
ilimitada para responder a B, previamente identificado arriba. Una vez más, este lazo es un iniciador específico para poder limitar la
dirección IP del interfaz RPAT a las computadoras IP privadas simultáneamente.
Las direcciones IP de RPAT pasivo son regresadas al usuario en la réplica DNS con el campo del sistema time-to-live (tiempo-de-vida) en
cero. (Es decir, está permitido grabar direcciones IP no registradas). RPAT pasivo registra el estado de la información en la resolución,
verificando la dirección IP privada de un número de puerto y lo asigna para la conexión. La dirección IP fuente y el puerto identifica al IP
iniciador o usuario cuando la aplicación intenta conectar a la computadora privada con dirección (192.168.32.15).
La sesión se ha establecido, y el usuario puede abrir una conexión arbitraria para 192.168.32.15 a través de RPAT pasivo. Una sesión ha
finalizado cuando ocurre una ruptura después de un período de inactividad.
Para utilizar RPAT un cliente elige dos puertos TCP para su propio uso. El primer puerto identifica a un canal de comando y el segundo a un
canal de datos. El usuario abre el puerto del canal comando para contactar con el RPAT pasivo, con el propósito de descubrir la dirección y
la edición del comando pasivo (PASV). El canal de comando es un puerto anunciado, por ejemplo, al utilizar el DNS para la resolución el
canal de comando está en el puerto 53, el DNS por defecto. Cuando se utiliza Grid basado en protocolos, el puerto por defecto es 2135.
RPAT pasivo recibe el comando PASV en el puerto del canal comando. El comando PASV hace que RPAT pasivo asigne un segundo
puerto, de los propios, para el canal de datos y avisa al usuario el número de ese puerto en la réplica PASV. El rango del puerto puede estar
en un rango no privilegiado (es decir, mayor o igual a 1,024); se recomienda firmemente, que el rango escogido sea lo suficientemente
grande para manejar muchas conexiones pasivas simultáneas (por ejemplo, de 49,152 a 65,534, el rango efímero de puerto registrado por
IANA).
El usuario entonces, abre la conexión de datos desde este segundo puerto, al puerto dinámico asignado por RPAT pasivo e indicado en la
réplica PASV (el puerto de los datos que RPAT ha abierto para esta conexión y que es tomado en cuenta encendido).
Conclusión. NAT y sus modalidades PAT y RPAT ofrecen una manera rápida y eficaz de ampliar el acceso seguro a Internet en redes
privadas nuevas y existentes, sin tener que esperar una nueva y mejor estructura de direcciones IP. Estos ofrecen mayor flexibilidad y
funcionamiento que el uso alternativo de proxies y se ha convertido en el estándar para el acceso compartido.
Referencias
http://www.jumpernetwork.com
http://webserver.cpg.com/ws/3.4/
http://www.cicei.com/ocon
http://www.rediris.es/rediris/boletin/33/enfoque3.html
http://www.inforsist.net/articulo.php?id=43
http://www.arsys.es/empresa/idc/ipv6.htm
http://www.glosarium.com/term/1053,14,xhtml
http://es.tldp.org/Manuales-LuCAS/GARL2/garl2/x-087-2-issues.html

Hacer NAT

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Hacer NAT

Uploaded by

Copyright:

Available Formats

Hacer NAT -Redirigir las peticiones externas a un puerto hacia un ordenador determinado- en el

router Xavi 7028r .

Finalmente lo actívamos pinchando en "Add Reserved Mapping".

Primera publicación: 2003-10

Para ver el gráfico seleccione la opción "Descargar" del menú superior

R# configure terminal

Como veo mis cámaras IP remotamente??

te voy a dar un ejemplo: desde tu nevegador digitarias lo siguiente:

http://www.micuentaDdns.com:80 - Esto para la camara 1

Guia paso-a-paso de Mikrotik

Aceda a Menú IP, FIREWALL

Seleccione menú IP, ARP

Crea una Nueva “ARP” (botón “+”)

Como último procedimiento, UD debe habilitar en su interfase, o ARP para reply-only.

Seleccione IP, WEB-PROXY

Seleccione en botón “SETTINGS”

Deberá aparecer una ventana como esta

Configure de acuerdo a sus necesidades...

No se debe Poner CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc etc...)

Crear una Nueva Regla (botón “+”)

Crear de la siguiente Forma:

Seleccione “FILTER RULES”

Crear una Nueva Regla (botón “+”)

En “ACTION” escoja la opción “drop”.

Configure como sigue

Crear una Nueva Regla (botón “+”)

Siga los procedimientos de abajo:

Siga la instrucciones de mas abajo:

Grave todo y realice una tercera regla.

Configurar de la Siguiente manera:

Escoja continuación, MANGLE

Crear una nueva regla (botón “+”)

el campo "CHAIN", escoja "PREROUTING".el campo "P2P", escoja "all-p2p".

A Continuación "QUEUE TREE"

Cree una nueva regla (botón “+”)

Defina de acuerdo a la figura.

Defina de acuerdo a figura.

Abra el menú, FILES

Para realizar a restauración do backup, reinicie en su MIKROTIK.

Y ahora en "FILTER RULES", crear una nueva regla (botón "+" ) .

Configure de siguiente forma:

Abra el menú PPP

Crear una nueva profile (botón "+" )

En Ventana "PPPoE SERVER LIST", seleccione un nuevo servidor (botón "+" )

Configure de acuerdo con sus necesidades. Básicamente como abajo:

Para crear una nueva regla seleccione el botón "+"

Configure de acuerdo con sus necesidades:

En Mismo menú, clicke "Networks" :

En seguida, clicke en Setup. la imagen a seguir muestran las principales configuraciones:

Entendiendo cada función del menu de WINBOX ***En CONSTRUccion**

Instalación de MIKROTIK (Link Dedicado)

Configure como abajo:

Configure en campo "Time Zone" de acuerdo al horario de su Ciudad

SCRIPT PARA REBOOTAR AUTOMATICAMENTE

SCRIPT PARA LIMPAR WEB-CACHE

SCRIPT PARA RENICIALIZAR WEB-CACHE

SCRIPT PARA BACKUP AUTOMÁTICO De MIKROTIK

SCRIPTS PARA HABILITAR y DESABILITAR TODA la BANDA

Consejo para REBOOT DE 15 EM 15 DIAS

LOADBALANCE - Vision General y Aplicacion

Figura 2 - Balanceamiento de carga (Direct Routing).

6.2 La Tecnología NAT

Una red protegida tiene las siguientes desventajas:

 Dirección fuente. La dirección IP de la computadora original tal como 192.168.18.223.

Entendiendo cada función del menu de WINBOX *En CONSTRUccion