Configurar DNAT desde Powershell para publicar el puerto 80

Algo muy común que nos encontramos cuando administramos servidores es redireccionar tráfico. Windows Server 2016 incluye varias tecnologías para facilitar el acceso remoto a servicios y redes.

La traducción de direcciones de red (NAT) es un proceso en el que una o más direcciones IP locales se traducen en una o más direcciones IP globales y viceversa, para proporcionar acceso a Internet a los hosts locales. NAT generalmente opera en un router o un firewall.

Tiene otras ventajas, además de reutilizar direcciones IP:

  • Nos permite ocultar la estructura de nuestra red interna. Desde fuera no nos es posible saber la magnitud de nuestra empresa. No se sabrá cuántas máquinas tenemos, ya que todas las máquinas locales están saliendo con una misma IP pública
  • Otra ventaja sería la seguridad, ya que nos impide acceder directamente desde el exterior a las máquinas de la red local. Con esto evitaríamos ataques a nuestra red al tener cerrados al exterior los puertos mas utilizados.

Tenemos tres tipos de NAT como detallamos a continuación:

1.      NAT Estática – Aquí, una única dirección IP privada se mapea con una sola dirección IP pública, es decir, una dirección IP privada se traduce a una dirección IP pública. Esta dirección IP pública no se puede reutilizar para múltiples IPs privadas. Se utiliza en alojamiento web.
Imagen1 
2.      Port Address Translation (PAT) - Aquí, muchas direcciones IP locales (privadas) se traducen a una sola dirección IP pública. Los números de puerto se utilizan para distinguir el tráfico, es decir, qué tráfico pertenece a qué dirección IP. Esto nos permite que miles de usuarios puedan conectarse a Internet mediante el uso de una sola dirección IP real (pública) global. Este es el modo habitual en una red On-Premise.
Imagen2 
3.      Dynamic NAT (DNAT) - Cuando en un entorno privado tenemos un servidor que ofrece determinados servicios por diferentes puertos, y necesitamos que sean accesibles desde el exterior de nuestra red, necesitamos redireccionar el tráfico recibido. Generalmente ese redireccionamiento lo realiza un router.
Imagen3

En el nuestro caso nos hemos centrado en la tecnología NAT/DNAT, y lo que nos ha hecho falta ha sido:

  • Tener una dirección pública a la que accedemos al servicio y un servidor, en este caso un WSRV 2016, con el Rol de Routing and Remote Access.
  • Y una máquina dentro de nuestra red local en la que publicamos un servicio accesible desde el exterior al puerto 80, como podría ser un Servidor IIS.

Problemas más comunes que nos podemos encontrar a la hora de configurar un DNAT:

  • Uno de los problemas que mas se pueden dar es que el tráfico que estamos intentando redirigir hacia dentro nos sea bloqueado por las reglas del firewall. Por ello, además de crearnos una regla DNAT, debemos asegurarnos de que el firewall esta permitiendo la recepción y tratamiento de ese tráfico que recibimos.
  • Otro problema común que a menudo nos podemos encontrar es la errónea definición de los parámetros que definen el tráfico sobre el que se va a aplicar la regla DNAT. Debemos asegurarnos de que en los campos IP Origen e IP destino se hacen referencia a las interfaces correctas.

Autor: David Rivero Orgaz

Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS 

Centro: Tajamar 

Año académico: 2019-2020 

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.