Temas Relacionados
Configurar NAT Estática
NAT estática, conocida también como reenvío de puerto, es una NAT de puerto-a-host. Con NAT estática, cuando un host envía un paquete desde una red a un puerto en una interfaz externa u opcional, NAT estática cambia la dirección IP de destino a una dirección IP y un puerto detrás del Firewall. Si una aplicación de software utiliza más de un puerto y los puertos se seleccionan en forma dinámica, debe usar 1-to-1 NAT o verificar si un proxy en el Firebox administra este tipo de tráfico. NAT estática también opera sobre las conexiones desde las redes que su Firebox protege.
Puede configurar la NAT estática para la conexiones a una interfaz externa u opcional de Firebox. NAT estática para una interfaz opcional es admitida en el sistema operativo Fireware v11.8.1 y superior. No puede configurar una NAT estática para las conexiones a una interfaz de confianza o personalizada. No puede configurar una NAT estática para las conexiones BOVPN o mobile VPN.
No puede configurar la NAT estática para un interfaz opcional en una Plantilla de Configuración de Dispositivo. Para obtener más información sobre cómo configurar una acción SNAT en una Plantilla de Configuración de Dispositivo, consulte Configurar una Acción SNAT.
Cuando usa NAT estática, las conexiones a un servidor interno se puede dirigir a una dirección IP de interfaz de Firebox, en lugar de a la dirección IP real del servidor. Por ejemplo, puede colocar su servidor de correo electrónico SMTP detrás del Firebox con una dirección IP privada y configurar NAT estática en su política SMTP. Su Firebox entonces recibe conexiones en el puerto 25 y envía todas las conexiones SMTP a la dirección real del servidor SMTP detrás del Firebox.
Si su dispositivo opera con el sistema operativo Fireware v11.0-v11.3.x, los pasos para configurar NAT estática en el Policy Manager son diferentes. Para obtener más información, consulte Acerca de NAT Estática en la Ayuda de Fireware XTM WatchGuard System Manager v11.3.x.
Cuando agrega una acción NAT estática, puede especificar opcionalmente una dirección IP de origen en la acción. Posteriormente, cuando una conexión que coincide con los parámetros en su acción NAT estática es recibida por su Firebox, este cambia la dirección IP de origen por la dirección IP que usted especificó. Puede especificar una dirección IP de origen distinta para cada miembro de SNAT.
También puede habilitar la traducción de dirección del puerto (PAT) en una acción NAT estática. Cuando habilita PAT, puede cambiar el destino del paquete para especificar un host interno distinto y un puerto diferente.
Para ver una demostración sobre cómo configurar NAT estático, vea el tutorial en video titulado Primeros pasos con NAT.
Agregar una Acción NAT Estática
En la Fireware Web UI, debe definir la acción NAT estática antes de que pueda usarla en una o más políticas.
- Seleccione Firewall > SNAT.
Aparece la página SNAT. - Haga clic en Agregar.
Aparece la página Agregar SNAT.
- En el cuadro de texto Nombre, ingrese un nombre para esta acción SNAT.
- (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
- Seleccione NAT Estática.
Ésta es la selección predeterminada. - Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar miembro.
- Desde la lista desplegable Dirección IP Externa/Opcional, seleccione la dirección IP o alias de una interfaz externa u opcional a utilizar en esta acción.
Por ejemplo, para usar NAT estática para los paquetes direccionados solamente a una dirección IP externa, seleccione la dirección IP externa o alias. O use NAT estática para los paquetes dirigidos a cualquier interfaz de IP opcional, seleccionando el alias Cualquiera-Opcional.
- Para especificar la dirección IP de origen para esta acción NAT estática, marque la casilla de selección Establecer IP de Origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
- En el cuadro de texto Dirección IP Interna, ingrese el destino en la red de confianza u opcional.
- Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.
Si usa la acción SNAT en una política que permite un tipo de conexión diferente a TCP o UDP, la configuración de puerto interno no se usa para esa conexión.
- Haga clic en Aceptar.
La ruta de NAT estática aparece en la lista Miembros y Direcciones. - Para agregar otro miembro a esta acción, haga clic en Agregar y repita los pasos 7 al 12.
- Haga clic en Guardar.
La nueva acción SNAT aparece en la página SNAT.
En el Policy Manager, puede crear una acción NAT estática y luego agregarla a una política o puede crear la acción NAT estática desde una configuración de política.
- Seleccione Configuración > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar SNAT.
- En el cuadro de texto Nombre SNAT, ingrese un nombre para esta acción SNAT.
- (Opcional) En el cuadro de texto Descripción, ingrese una descripción para esta acción SNAT.
- Seleccione NAT Estática.
Ésta es la selección predeterminada. - Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar NAT estática.
- Desde la lista desplegable Dirección IP Externa/Opcional, seleccione la dirección IP o alias de una interfaz externa u opcional a utilizar en esta acción.
Por ejemplo, para usar NAT estática para los paquetes direccionados solamente a una dirección IP externa, seleccione la dirección IP externa o alias. O use NAT estática para los paquetes dirigidos a cualquier interfaz de IP opcional, seleccionando el alias Cualquiera-Opcional.
- Para especificar la dirección IP de origen para esta acción NAT estática, marque la casilla de selección Establecer IP de Origen. Ingrese la dirección IP de origen en el cuadro de texto adyacente.
- En el cuadro de texto Dirección IP Interna, ingrese el destino en la red de confianza u opcional.
- Para habilitar la traducción de direcciones de puerto (PAT), marque la casilla de selección Establecer puerto interno a un puerto diferente. En el cuadro de texto adjunto, ingrese o seleccione el número de puerto.
Si usa la acción SNAT en una política que permite conexiones diferentes a TCP o UDP, la configuración de puerto interno no se usa para esa conexión.
- Haga clic en Aceptar.
La ruta de NAT estática aparece en la lista Miembros y Direcciones. - Para agregar otro miembro a esta acción, haga clic en Agregar y repita los pasos 7 al 12.
- Haga clic en Aceptar.
Aparece la nueva acción SNAT en el cuadro de diálogo SNAT.
Agregar una acción NAT estática a una política
Después de agregar una acción SNAT, puede utilizarla en una o más políticas.
- Seleccione Firewall > Políticas de Firewall.
- Haga clic en el nombre de una política para editarla.
- Desde la lista desplegable Las conexiones están, seleccione Permitidas.
Para usar NAT estática, la política debe permitir conexiones entrantes. - En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar miembro.
- Desde la lista desplegable Tipo de Miembro, seleccione NAT Estática.
Aparece una lista de las Acciones NAT estática configuradas. - Seleccione la acción NAT estática para agregarla a esta política. Haga clic en Aceptar.
La ruta de NAT estática aparece en la sección Hasta de la configuración de políticas. - Haga clic en Guardar.
- Haga doble clic en una política para editarla.
- Desde la lista desplegable Las conexiones están, seleccione Permitidas.
Para usar NAT estática, la política debe permitir conexiones entrantes. - En la sección Hacia, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar dirección. - Haga clic en Agregar SNAT.
Aparece el cuadro de diálogo SNAT, con una lista de las acciones NAT estática y de balance de carga en el servidor configuradas.
- Seleccione la acción SNAT configurada que se agregará. Haga clic en Aceptar.
O haga clic en Agregar para definir una nueva acción NAT estática. Siga los pasos en la Configurar NAT Estática sección para configurar la acción NAT estática. - Haga clic en Aceptar para cerrar el cuadro de diálogo SNAT.
La ruta de NAT estática aparece en la lista Miembros y Direcciones Seleccionados.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar dirección.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de política.
Editar o Eliminar una Acción NAT Estática
Puede editar una acción SNAT desde la lista acción SNAT.
- Seleccione Firewall > SNAT.
La página SNAT aparece. - Seleccione una acción SNAT.
- Haga clic en Editar.
La página Editar SNAT aparece. - Modificar la acción SNAT.
Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que usan esa acción SNAT. - Haga clic en Guardar.
- Seleccione Configurar > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Seleccione una acción SNAT.
- Haga clic en Editar.
La página Editar SNAT aparece. - Modificar la acción SNAT.
Cuando edita una acción SNAT, los cambios que realiza se aplican a todas las políticas que usan esa acción SNAT. - Haga clic en Aceptar.
En Policy Manager, también puede editar una acción SNAT cuando edita una política.
- Haga doble clic en una política para editarla.
Aparece el cuadro de diálogo Editar Propiedades de Política, con la pestaña Política seleccionada. - En la seccion Hacia, seleccione la acción SNAT que desea editar.
- Haga clic en Editar.
El cuadro de diálogo Editar SNAT aparece. - Modificar la acción SNAT.
Cuando edita una acción SNAT en una política, los cambios se aplican a todas las políticas que usan esa acción SNAT. - Haga clic en Aceptar.
Puede eliminar cualquier acción SNAT que no sea utilizada por una política.
- Seleccione Firewall > SNAT.
La página SNAT aparece. - Seleccione una acción SNAT.
- Haga clic en Eliminar.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Aceptar para confirmar que desea eliminar la acción SNAT.
- Seleccione Configurar > Acciones > SNAT.
Aparece el cuadro de diálogo SNAT. - Seleccione una acción SNAT.
- Haga clic en Eliminar.
Aparece un cuadro de diálogo de confirmación. - Haga clic en Sí para confirmar que desea eliminar la acción SNAT.
- Haga clic en Aceptar.
Cambiar la Configuración Global de NAT Estática
De forma predeterminada, el Firebox no borra las conexiones activas cuando modifica una acción NAT estática. Puede cambiar la configuración global de SNAT para que el Firebox borre las conexiones activas que utilizan una acción SNAT que haya modificado.
Para cambiar la configuración global de SNAT en Fireware Web UI o Policy Manager:
- Seleccione Configuración > Configuración Global.
- Seleccione Sistema > Configuración Global.
- Seleccione la pestaña Red.
- En la sección Flujo de Tráfico, marque la casilla de selección Cuando una acción SNAT cambia, borrar las conexiones activas que utilizan esa acción SNAT.
Vea también
Configurar NAT Dinámica Basada en Políticas
Ejemplo de Configuración — Servidor Web Público Detrás de un Dispositivo XTM
Ejemplo de Archivos de Configuración — Servidor Web Público Detrás de un Dispositivo XTM