7. NAT (Network Address Translation)

El Network Address Translation (NAT) es la técnica que permite que redes privadas accedan a Internet compartiendo una o pocas direcciones públicas. Se convirtió en una solución pragmática frente al agotamiento de IPv4 y en un componente habitual de la seguridad perimetral.

Comprender sus variantes y efectos es clave para diseñar arquitecturas híbridas, publicar servicios internos y explicar por qué algunas aplicaciones presentan dificultades detrás de NAT.

7.1 Propósito

NAT traduce direcciones IP y, en algunos casos, puertos, entre un dominio privado y otro público. Sus objetivos principales son:

  • Ahorro de direcciones públicas: múltiples dispositivos internos comparten una sola IP en Internet.
  • Aislamiento: las direcciones privadas no son enrutables desde el exterior, lo que agrega una capa básica de seguridad.
  • Flexibilidad: permite reorganizar la numeración interna sin coordinar con proveedores externos.

Aunque NAT no fue pensado como mecanismo de seguridad, su adopción masiva redujo la exposición directa de los hosts locales.

7.2 Tipos de NAT

Tipo Descripción Uso típico
NAT estático (1:1) Mapea una IP privada fija a una IP pública específica. Publicar servidores internos (web, VPN) con identidad estable.
NAT dinámico (pool) Asigna IP públicas desde un rango disponible a medida que se necesitan. Conexiones salientes de sucursales o data centers con varios bloques.
PAT / NAT sobrecargado Comparte una IP pública utilizando puertos distintos para cada sesión. Routers domésticos y empresariales que dan acceso a Internet a muchos dispositivos.

Algunas implementaciones combinan varias técnicas: por ejemplo, una empresa puede usar NAT estático para su servidor web y PAT para los usuarios internos.

7.3 Funcionamiento en un router doméstico

Considera una red con la IP privada 192.168.0.10 que quiere acceder a un sitio externo. El router:

  1. Recibe el paquete desde la red LAN.
  2. Reemplaza la IP origen privada por su IP pública (ej. 190.16.25.40) y registra la traducción en la tabla NAT.
  3. Si se trata de PAT, también cambia el puerto origen, guardando la correspondencia 192.168.0.10:55123 → 190.16.25.40:40001.
  4. Envía el paquete a Internet y espera la respuesta.
  5. Cuando retorna, consulta la tabla NAT para restaurar la IP y el puerto original antes de reenviar a la LAN.

Si el router se reinicia o la sesión expira, la entrada se elimina y habrá que generar una nueva solicitud para restablecer la traducción.

7.4 Ejemplo práctico en PowerShell

En routers basados en Windows (por ejemplo, con RRAS) puedes revisar las sesiones NAT activas: 

Get-NetNat |
  Get-NetNatSession |
  Select-Object NatName, InternalIPAddress, ExternalIPAddress, Protocol, InternalPort, ExternalPort

Este listado es útil para diagnosticar conflictos de puertos o confirmar que una traducción está activa mientras se publica un servicio. En equipos SOHO, la interfaz web suele mostrar información similar bajo “Estado NAT” o “Port Forwarding”.

7.5 Ventajas y desventajas

Ventajas:

  • Reduce el consumo de direcciones públicas.
  • Oculta la topología interna y dificulta escaneos directos.
  • Permite publicar servicios internos controlando explícitamente los puertos expuestos.

Desventajas:

  • Complica aplicaciones P2P, VoIP o juegos que requieren conexiones entrantes.
  • Introduce latencia mínima debido a la reescritura de encabezados.
  • Puede interferir con protocolos que transportan direcciones IP dentro de la carga (SIP, FTP, IPsec) si no se aplican ALG o ajustes específicos.

7.6 Impacto en aplicaciones P2P y protocolos especiales

Protocolos que esperan direcciones públicas visibles sufren cuando se encuentran detrás de NAT. Para mitigarlo se emplean técnicas como:

  • UPnP / NAT-PMP: permiten que aplicaciones soliciten abrir puertos automáticamente.
  • STUN / TURN / ICE: estrategias usadas por WebRTC y VoIP para descubrir la IP pública y negociar rutas alternas.
  • ALG (Application Layer Gateway): módulos en el router que reescriben direcciones dentro del payload (ej. SIP ALG).

Sin estas soluciones, los clientes deben recurrir a túneles o VPN para lograr conectividad bidireccional.

7.7 NAT en escenarios IPv6

En IPv6 el objetivo es evitar NAT y aprovechar el espacio de direcciones amplio, sin embargo, surgieron variantes como NAT66 o NPTv6 para casos puntuales (fusión de empresas, renumeración sin interrumpir servicios). Aun así, la recomendación general es utilizar prefijos globales y políticas de firewall en lugar de traducción.

7.8 Conclusión

NAT fue la respuesta pragmática al agotamiento de IPv4 y hoy sigue siendo imprescindible para millones de redes. Conocer sus tipos, limitaciones y herramientas de diagnóstico te permitirá diseñar soluciones efectivas sin sacrificar seguridad o compatibilidad.

En el siguiente tema abordaremos DHCP, el protocolo que automatiza la asignación de direcciones IP y parámetros de red, complementando la función de NAT en redes modernas.

Retornar