Este artículo aborda un problema común en la gestión de tráfico NAT en dispositivos FortiGate, específicamente en la configuración de la política IPv4. La correcta comprensión y gestión de NAT es crucial, ya que afecta la forma en que se enrutan los paquetes a través de la red. A lo largo del artículo, se describirá cómo fluye el tráfico con NAT habilitado y cómo resolver problemas relacionados con la configuración.
Índice
Descripción del problema
Cuando NAT está habilitado en la política IPv4, el tráfico se transforma al IP de la interfaz de destino. Esto puede generar confusión en la gestión y diagnóstico del tráfico, especialmente para los administradores de red. Se hace necesario entender cómo el tráfico se ve afectado dependiendo de esta configuración.
Alcance
Este artículo se centra en los dispositivos FortiGate y la gestión de políticas IPv4 con NAT habilitado.
Diagnóstico paso a paso
Para diagnosticar problemas relacionados con la configuración de NAT, se puede utilizar el comando de sniffer en la línea de comandos. El siguiente comando captura paquetes para encontrar el tráfico hacia un host específico, en este caso, 8.8.8.8:
diagnose sniffer packet any "host 8.8.8.8 and icmp" 4 0 lCuando se ejecuta este comando, se monitoriza el tráfico que pasa a través de la red. La salida podría verse así:
2024-11-01 00:44:44.356807 port2 in 172.31.137.26 -> 8.8.8.8: icmp: echo request
2024-11-01 00:44:44.357132 port1 out 10.5.25.71 -> 8.8.8.8: icmp: echo request
2024-11-01 00:44:44.361608 port1 in 8.8.8.8 -> 10.5.25.71: icmp: echo reply
2024-11-01 00:44:44.361688 port2 out 8.8.8.8 -> 172.31.137.26: icmp: echo replySolución recomendada
Si NAT está habilitado, el tráfico se convertirá a la IP de la interfaz de destino. En nuestro ejemplo, la IP de la interfaz port1 es 10.5.25.71. Por lo tanto, cuando NAT está habilitado, el tráfico se NATtea a 10.5.25.71 y se reenvía al servidor.
Si NAT está desactivado, el tráfico se reenvía al destino con el IP original de origen. A continuación, se muestra una captura comparativa que ilustra este comportamiento:
Comandos CLI utilizados
Se han utilizado comandos clave para el diagnóstico y la visualización del flujo de tráfico:
diagnose sniffer packet any "host 8.8.8.8 and icmp" 4 0 l— Captura el tráfico ICMP hacia el host 8.8.8.8.
Buenas prácticas y recomendaciones
- Este escenario es aplicable para todo tipo de tráfico, incluyendo VPN e Internet.
- En el tráfico VPN, si el servidor desea ver la solicitud con el IP original de origen, es necesario desactivar NAT en la política IPv4. Sin embargo, si al desactivar NAT no hay respuesta, es fundamental investigar en el servidor y revisar por qué no se está recibiendo respuesta con la dirección IP original, deshabilitando el firewall de Windows o configurando una regla NAT en el servidor.
Notas adicionales
Es crucial para los administradores de red entender cómo NAT afecta la conectividad y el enrutamiento. La implementación correcta de NAT no solo facilita el flujo de tráfico, sino que también ayuda a resolver problemas de conectividad y diagnóstico en la red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!