Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT
NAT es uno de los temas de Sophos Firewall que más confusión genera en la práctica. Los términos se parecen, la interfaz usa Original y Translated, y Log Viewer puede mostrar direcciones distintas según el punto donde se mire.
Este artículo explica los tipos principales de NAT, muestra casos prácticos y describe un ejemplo DNAT con su Firewall Rule correspondiente.
NAT traduce, no permite
Network Address Translation cambia direcciones o puertos de un paquete mientras pasa por Sophos Firewall. NAT por sí solo no decide si el tráfico está permitido.
⚠️ Una NAT rule no permite tráfico. Solo traduce direcciones o puertos. Para que el tráfico atraviese la firewall, siempre hace falta también una Firewall Rule adecuada.
Casos típicos:
- Clientes internos salen a Internet con la IP WAN pública.
- Un servidor interno se publica mediante una IP pública.
- Un puerto público se traduce a otro puerto interno.
- Redes solapadas se traducen para conexiones VPN.
- Clientes internos acceden a un servidor interno mediante su DNS name público.
Tipos principales de NAT
| Tipo NAT | Qué se traduce | Uso típico |
|---|---|---|
| SNAT | Source IP | Clientes o servidores internos salen con una IP pública definida |
| MASQ | Source IP hacia la IP de la interfaz de salida | Escenario estándar LAN a WAN |
| DNAT | Destination IP | Un servidor interno queda accesible mediante una IP pública |
| PAT | Puerto o servicio | Un puerto externo se traduce a otro puerto interno |
| Loopback NAT | Acceso interno mediante IP pública o FQDN público | Clientes internos usan el mismo DNS name que usuarios externos |
| Reflexive Rule | Regla Source NAT espejo | Un servidor publicado debe usar una identidad pública coherente en salida |
NAT no responde a “¿se permite este tráfico?”, sino a “¿cómo deben verse la dirección o el puerto durante el procesamiento?”.
Original y Translated
| Campo | Significado |
|---|---|
| Original source | Dirección origen antes de NAT |
| Translated source (SNAT) | Dirección origen después de NAT |
| Original destination | Dirección destino antes de NAT |
| Translated destination (DNAT) | Dirección destino después de NAT |
| Original service | Servicio o puerto antes de NAT |
| Translated service (PAT) | Servicio o puerto después de NAT |
En troubleshooting conviene describir primero el paquete antes de NAT y después definir cómo debe salir de la firewall.
Ejemplos prácticos
| Situación | Tipo NAT adecuado | Ejemplo |
|---|---|---|
| Clientes LAN necesitan Internet | MASQ o SNAT | 10.10.10.80 sale con la IP WAN de la firewall |
| Un servidor web interno debe ser accesible desde Internet | DNAT | IP WAN pública hacia 172.16.16.10 |
| El puerto externo difiere del interno | PAT | Externo TCP 5555, interno TCP 443 |
| Usuarios internos usan el mismo FQDN que usuarios externos | Loopback NAT | service.example.com funciona dentro y fuera |
| Un servidor publicado debe salir con una IP pública concreta | SNAT o Reflexive Rule | Servidor de correo envía con IP pública definida |
| Redes VPN solapadas | SNAT o DNAT | Sede A ve sede B mediante una red traducida |
SNAT y MASQ
SNAT cambia la dirección origen. El caso clásico es el acceso a Internet desde LAN. Los clientes conservan internamente sus IP privadas, pero hacia fuera aparece la IP WAN de la firewall o una IP pública definida.
MASQ es una variante cómoda de SNAT. Normalmente traduce la Source IP a la IP de la interfaz de salida. Para tráfico normal a Internet suele ser la IP WAN. Sophos Firewall incluye una Default SNAT rule con MASQ; si no se usa, normalmente es mejor desactivarla que eliminarla.
| Campo | Ejemplo |
|---|---|
| Original source | LAN interna o red de servidores |
| Translated source (SNAT) | MASQ o IP pública fija |
| Original destination | Any |
| Translated destination (DNAT) | Original |
| Original service | Any o servicios definidos |
| Translated service (PAT) | Original |
| Inbound interface | Interfaz interna o Any |
| Outbound interface | Interfaz WAN |
En route-based VPNs, MASQ puede usar la XFRM IP como source traducida si se usan redes Any o configuraciones Dual IP.
DNAT y PAT
DNAT cambia la dirección destino. Se usa para publicar un servidor interno mediante una IP o un puerto público.
| Campo | Ejemplo |
|---|---|
| Original source | Any o redes origen definidas |
| Original destination | IP WAN u objeto WAN host |
| Original service | Servicio externo, por ejemplo HTTPS o Synology_5555 |
| Translated destination (DNAT) | Servidor interno |
| Translated service (PAT) | Original o puerto interno |
| Translated source (SNAT) | Normalmente Original |
| Inbound interface | Any o interfaz WAN |
| Outbound interface | Normalmente Any para DNAT |
PAT cambia el servicio o puerto mediante Translated service (PAT).
| Externo | Interno |
|---|---|
TCP 5555 | TCP 443 |
TCP 20120 | TCP 22 |
TCP 8443 | TCP 443 |
El protocolo debe coincidir: TCP a TCP, UDP a UDP.
Ejemplo: publicar Synology con DNAT
En el ejemplo, el servicio Synology_5555 es accesible desde fuera, mientras el servidor interno escucha en HTTPS. La NAT rule traduce la dirección pública al servidor interno y el servicio público al servicio interno.
Interfaces de administración como NAS, RDP, SSH o WebAdmin solo deberían publicarse directamente si es realmente necesario. A menudo VPN o ZTNA es mejor.
DNAT rule campo por campo
| Campo | Recomendación |
|---|---|
| Rule name | Nombre claro, por ejemplo DNAT_SYNOLOGY_5555. |
| Description | Documentar por qué existe la regla y quién la creó. |
| Rule position | Reglas específicas por encima de reglas generales. |
| Original source | Puede limitarse en NAT, pero suele ser más limpio hacerlo en la Firewall Rule. |
| Original destination | Dirección pública antes de NAT. Mejor un host object para la IP WAN que seleccionar directamente la interfaz WAN. |
| Original service | Servicio o puerto externo, por ejemplo Synology_5555. |
| Translated source (SNAT) | Normalmente Original; cambiar solo si el servidor debe ver la firewall como source. |
| Translated destination (DNAT) | Servidor interno o lista de servidores. |
| Translated service (PAT) | Servicio o puerto interno, por ejemplo HTTPS; si no hay cambio, usar Original. |
| Inbound interface | Para DNAT suele ser Any o WAN. |
| Outbound interface | Normalmente Any. |
Firewall Rule correspondiente
| Campo | Recomendación |
|---|---|
| Source zones | Normalmente WAN. |
| Source networks and devices | Evitar Any si es posible; usar países, IPs, redes, FQDN hosts o grupos. |
| Destination zones | Zona del objetivo interno, por ejemplo SERVER o DMZ. |
| Destination networks | Dirección pública u objeto WAN host de Original destination. |
| Services | Servicio externo de Original service. |
| Log firewall traffic | Activar para servicios publicados. |
💡 Los servicios públicos suelen ser escaneados rápidamente por bots. Sophos Firewall Threat Feeds ayuda a bloquear antes IPs, dominios o URLs maliciosos conocidos.
Loopback Rule y Reflexive Rule
Una Loopback Rule se necesita cuando clientes internos deben llegar a un servidor interno mediante su IP pública o FQDN público. En entornos simples, Split DNS suele ser más limpio.
Una Reflexive Rule es una regla SNAT creada automáticamente para una DNAT rule. Puede ser útil si el servidor publicado debe salir con una IP pública específica. Para respuestas normales de una conexión DNAT entrante no suele ser necesaria.
⚠️ Después de cambiar una DNAT rule, conviene revisar las Loopback o Reflexive Rules generadas automáticamente.
Server Access Assistant, Linked NAT Rules y orden
Server Access Assistant puede crear automáticamente DNAT, loopback, reflexive y Firewall Rules. Es práctico, pero en producción las reglas manuales suelen ser más transparentes.
Una Linked NAT Rule se crea desde una Firewall Rule y aparece como Source NAT rule. Muchas Linked NAT Rules vuelven la tabla NAT difícil de leer.
Sophos procesa NAT rules de arriba abajo. Gana la primera regla que coincide. Las DNAT específicas y SNAT específicas deben ir por encima de reglas MASQ generales.
Load balancing y Health Check
Si se configuran varios servidores internos como Translated destination, la firewall puede distribuir tráfico.
| Método | Uso |
|---|---|
| Round robin | Distribución simple |
| First alive | Servidor primario con failover |
| Random | Distribución aleatoria |
| Sticky IP | Misma combinación source-destination en el mismo servidor |
| One-to-one | Asignación fija entre destino original y traducido |
Para detectar disponibilidad, debe activarse Health check.
Troubleshooting
- Abrir Log viewer y filtrar por Source IP, Destination IP y servicio.
- Revisar Firewall Rule ID y NAT Rule ID.
- Revisar la posición de la NAT rule.
- Revisar la posición de la Firewall Rule.
- Usar Diagnostics > Packet capture.
- Revisar
nat_rule.log,firewall_rule.logyfwlog.log. - En VPN o XFRM, revisar
charon.log,strongswan.logyxfrmi.log.
Si la NAT rule sigue sin coincidir, ayudan La regla firewall no coincide: revisar orden, matching y logs y Usar Packet Capture en WebAdmin. Los servicios y logs relevantes están en Sophos Firewall Troubleshooting: Services y logs. Para soporte, se pueden exportar logs con Guardar logs de Sophos Firewall para soporte y análisis.