Skip to content

¿Qué es NAT, y en qué se diferencia PAT de él?

Respuesta breve

NAT (Network Address Translation) reescribe la IP de origen o destino a medida que los paquetes cruzan una frontera, normalmente mapeando direcciones internas privadas a públicas. PAT (Port Address Translation, o NAT overload) lo amplía traduciendo también los puertos, permitiendo que muchos hosts internos compartan una sola IP pública — cada flujo distinguido por su puerto. PAT es lo que usan los routers domésticos y de oficina para poner toda una LAN tras una sola dirección.

NAT existe principalmente porque las direcciones IPv4 escasearon: no hay direcciones públicas suficientes para cada dispositivo, así que las organizaciones usan rangos privados internamente y traducen a direcciones públicas en el borde. Conocer la distinción NAT/PAT demuestra que entiendes cómo las redes reales alcanzan Internet.

NAT simple

La Network Address Translation reescribe las direcciones IP en las cabeceras de los paquetes a medida que cruzan un router o cortafuegos. El NAT estático mapea una dirección privada a una pública (útil para un servidor que debe ser alcanzable). El NAT dinámico mapea un conjunto de direcciones privadas a un conjunto de públicas. En ambos casos, la traducción es IP a IP.

PAT (NAT overload)

La Port Address Translation es la versión que casi todo el mundo usa en realidad. Mapea muchos hosts internos a una sola IP pública traduciendo también el puerto de origen. El dispositivo NAT mantiene una tabla de traducción indexada por la combinación de IP interna, puerto interno y un puerto externo único. El tráfico de retorno se reasocia al host correcto mediante esa tabla. Así es como toda una red doméstica navega por la web a través de una sola dirección asignada por el ISP.

Efectos colaterales en seguridad

A NAT a veces se le llama seguridad por accidente: como las conexiones entrantes no tienen mapeo por defecto, los hosts tras PAT no son alcanzables directamente desde fuera. Es un efecto colateral útil, no un cortafuegos — no proporciona inspección ni política, y en cuanto un host inicia tráfico saliente, la ruta de retorno queda abierta. Para exponer deliberadamente un servicio interno se configura el reenvío de puertos (un mapeo entrante estático). NAT también rompe protocolos que incrustan IPs en su carga útil (SIP, FTP), requiriendo ALGs para corregirlos.

Los entrevistadores quieren la distinción solo IP vs IP+puerto, que PAT es lo que comparte una sola IP pública, y la advertencia de que NAT no es un control de seguridad.

Posibles preguntas de seguimiento

  • ¿Por qué se describe a menudo NAT como «seguridad por accidente» en lugar de un control real?
  • ¿Cómo permite el reenvío de puertos que una conexión entrante alcance un host tras NAT?
  • ¿Qué problemas crea NAT para protocolos como SIP o para la conectividad extremo a extremo?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.