Mapeo de puertos (Port Forwarding)

Supongamos que tenemos la siguiente topología de red:

Nuestro objetivo es que el servidor interno sea accesible desde Internet, de tal manera que podamos publicar algunos servicios hacia otros usuarios externos que se encuentran fuera de la red.

El primer problema que nos encontraremos para lograr este objetivo es que la red interna pertenece a un segmento de red privado y que por tanto, estas direcciones no pueden ser enrutadas a través de Internet (recordemos que para poder enrutar una dirección en Internet es necesario que la misma sea una dirección IP pública). Entonces, dado que ningún equipo en Internet puede alcanzar directamente al servidor en la red interna, ¿cómo podemos hacer estos servicios accesibles a otras redes fuera de la red interna?

La solución está en utilizar la técnica conocida como Port Forwarding o Mapeo de Puertos, la cual permite la comunicación desde hosts externos hacia los servicios proporcionados dentro de una red privada.

En el diagrama anterior, el único dispositivo de nuestra red que tiene una dirección IP pública es el router/firewall; entonces, el router/firewall podría darnos una mano permitiéndonos usar su dirección IP pública para hacer disponible en Internet alguno(s) de nuestros servicios internos.

Es decir, le diremos al router/firewall, que nos "preste" su dirección IP pública y adicionalmente un (1) puerto (TCP o UDP) para publicar el servicio ofrecido por el servidor. Los usuarios externos únicamente conocen la dirección IP pública del router/firewall, por tanto, el router/firewall "engañará" a los clientes externos haciéndoles creer que es él mismo el que está proporcionando el servicio en cuestión. Sin embargo, al configurar el mapeo de direcciones o puertos en el router/firewall, los intentos de acceso dirigidos a la dirección IP pública del firewall serán redireccionados al servidor interno.

¿Cómo funciona?

NAT permite que una red local use direcciones IP privadas (no enrutables), y aún así comunicarse con Internet. En otras palabras las conexiones pueden ser establecidas desde adentro hacia afuera, pero las conexiones entrantes desde Internet no están permitidas. Al usar el mapeo de puertos, sin embargo, los servicios públicos como un servidor Web o FTP, y otros servicios ejecutándose dentro de la red privada pueden hacerse accesibles desde Internet.

Port forwarding o mapeo de puertos se refiere al cambio de la dirección de destino -y posiblemente el puerto- en el paquete inicialmente enviado al router/firewall y que seguidamente es enrutado por el mismo router/firewall para llegar a un host dentro de una red privada protegida por NAT, basado en el número de puerto en el cual fue recibido desde el host orígen.

La configuración necesaria debe ser realizada precisamente en el router/firewall, de esta manera, el router/firewall quedará con un puerto a la escucha (listening) tal como si este dispositivo tuviera el servicio instalado; sin embargo, cada petición o conexión que reciba el router/firewall a este puerto automáticamente será reenviada al puerto correspondiente en el servidor interno, quién verdaderamente será el encargado de responder a las conexiones y procesar las solicitudes del cliente.