SOPHOS - SNAT & DNAT

🔥🌐 Práctica: Configuración de Reglas SNAT y DNAT en Sophos Firewall para Conectividad entre Redes y Publicación de Servicios en DMZ

En esta práctica se configurarán reglas de firewall, SNAT y DNAT en Sophos Firewall con el objetivo de controlar la comunicación entre distintas zonas de red y publicar servicios internos ubicados en la DMZ hacia el exterior.

Partiremos de un escenario donde Sophos Firewall actúa como punto central de seguridad entre varias redes: una red LAN, una segunda red LAN/SRV, una red DMZ y la red WAN. El objetivo será permitir únicamente los flujos de comunicación necesarios entre estas zonas, aplicando reglas controladas y publicando servicios concretos de la DMZ mediante redirección de puertos.

Durante la práctica se configurarán políticas para permitir la conexión entre:

• LAN → WAN
• DMZ → WAN
• LAN → LAN/SRV
• WAN → DMZ

Además, se implementarán dos reglas DNAT para exponer servicios alojados en un servidor de la DMZ con IP 192.168.40.2:

• Puerto 2222 de la WAN de Sophos → Puerto 22 del servidor DMZ para acceso SSH.
• Puerto 8888 de la WAN de Sophos → Puerto 80 del servidor DMZ para acceso web Apache.

Con esta práctica se comprenderá cómo Sophos Firewall gestiona el tráfico entre zonas, cómo se aplica NAT en comunicaciones salientes y entrantes, y cómo publicar servicios internos de forma controlada sin exponer directamente toda la red.

🧰 Tecnologías empleadas

🔥 Sophos Firewall

Sophos Firewall será el elemento central de esta práctica. Su función será controlar el tráfico entre redes, aplicar reglas de seguridad y realizar traducción de direcciones mediante NAT.

En una arquitectura real, el firewall no debe limitarse a “dar salida a Internet”, sino que debe actuar como punto de decisión para cada flujo de comunicación. Esto significa que cada conexión entre redes debe ser evaluada según su origen, destino, servicio y política aplicada.

Sophos permite trabajar con zonas, interfaces, reglas de firewall, políticas NAT y servicios personalizados, lo que facilita construir una arquitectura ordenada y segura. En esta práctica se utilizará para permitir tráfico legítimo entre redes internas, dar salida a Internet a distintas zonas y publicar servicios concretos desde la DMZ hacia la WAN.

🌐 NAT

NAT, o Network Address Translation, es el mecanismo que permite modificar direcciones IP o puertos cuando el tráfico atraviesa el firewall.

Es una tecnología esencial porque las redes internas suelen utilizar direcciones privadas, como 192.168.x.x, que no son enrutable directamente en Internet. Para que estos equipos puedan comunicarse hacia fuera, el firewall traduce sus direcciones internas a una dirección válida en la WAN.

También se utiliza en sentido contrario: cuando un usuario externo se conecta a la IP pública del firewall, NAT puede redirigir esa conexión hacia un servidor interno concreto.

En esta práctica se trabajará principalmente con dos tipos de NAT:

• SNAT, para tráfico saliente.
• DNAT, para tráfico entrante hacia servicios publicados.

🔁 SNAT

SNAT significa Source NAT, o traducción de la dirección de origen.

Se utiliza cuando un equipo de una red interna, como LAN o DMZ, necesita salir hacia Internet. En ese caso, el servidor interno tiene una IP privada, pero Internet no puede responder directamente a esa IP. Por eso, Sophos reemplaza la IP privada de origen por la IP de su interfaz WAN.

Por ejemplo, si un servidor de la DMZ con IP 192.168.40.2 quiere descargar actualizaciones desde Internet, Sophos puede traducir esa IP privada a la IP WAN del firewall. De esta forma, el tráfico puede salir y recibir respuesta correctamente.

SNAT es fundamental para permitir navegación, actualizaciones de sistema, sincronización con repositorios o cualquier comunicación saliente desde redes internas hacia Internet.

🔀 DNAT

DNAT significa Destination NAT, o traducción de la dirección de destino.

Se utiliza cuando una conexión llega desde una red externa, normalmente la WAN, hacia la IP del firewall, pero realmente queremos que esa conexión termine en un servidor interno.

En esta práctica, DNAT se utilizará para publicar servicios de un servidor ubicado en la DMZ. El usuario externo no se conectará directamente a la IP privada 192.168.40.2, porque esa IP pertenece a una red interna. En su lugar, se conectará a la IP WAN de Sophos en un puerto concreto, y Sophos redirigirá esa conexión hacia el servidor DMZ.

El ejemplo será:

• WAN Sophos puerto 2222 → servidor DMZ 192.168.40.2 puerto 22
• WAN Sophos puerto 8888 → servidor DMZ 192.168.40.2 puerto 80

Esto permite exponer servicios concretos sin abrir acceso completo a la red DMZ.

🧱 LAN, LAN/SRV y DMZ

En esta práctica se trabaja con varias redes con funciones diferentes.

La LAN representa una red interna de usuarios o administración. Normalmente es una red confiable desde la que se puede permitir salida a Internet o acceso a determinados servidores internos.

La LAN/SRV representa una red donde pueden alojarse servidores internos o activos críticos. Esta red debe tener políticas más controladas que una LAN de usuarios, ya que contiene sistemas más sensibles.

La DMZ es una zona intermedia destinada a alojar servicios expuestos o semiexpuestos. Un servidor en la DMZ puede recibir conexiones desde redes externas, pero no debería tener acceso libre hacia las redes internas críticas.

Separar estas redes permite aplicar el principio de segmentación. Esto significa que cada red tiene un propósito concreto y solo puede comunicarse con otras redes cuando exista una regla explícita que lo permita.

🔐 SSH

SSH es un protocolo seguro utilizado para administrar sistemas Linux de forma remota. Permite abrir una terminal remota cifrada contra un servidor y ejecutar tareas administrativas.

En esta práctica se publicará el servicio SSH del servidor DMZ hacia la WAN mediante DNAT. Sin embargo, por seguridad, no se expondrá directamente el puerto 22 en la WAN, sino que se utilizará el puerto externo 2222, que será redirigido internamente al puerto 22 del servidor.

Aunque esto no sustituye a una buena política de seguridad, ayuda a diferenciar el puerto expuesto externamente del servicio real interno.

En entornos empresariales, exponer SSH directamente a Internet debe hacerse con mucha precaución. Lo recomendable sería restringir IPs de origen, utilizar claves SSH, deshabilitar acceso por contraseña, aplicar MFA si es posible o acceder mediante VPN.

🌍 Apache Web Server

Apache será utilizado como servidor web de prueba dentro de la DMZ.

Su función será permitir validar la publicación de un servicio HTTP mediante DNAT. Una vez instalado Apache en el servidor 192.168.40.2, Sophos redirigirá las conexiones recibidas en el puerto 8888 de la WAN hacia el puerto 80 del servidor.

Esto permite comprobar cómo se publica un servicio web interno sin exponer directamente toda la máquina ni toda la red.

En un entorno real, este tipo de publicación podría representar una aplicación corporativa, un portal web, un servicio de documentación o una aplicación interna accesible desde el exterior bajo reglas controladas.

🎯 Objetivos de la práctica

El objetivo principal de esta práctica es comprender cómo Sophos Firewall controla el tráfico entre redes y cómo se utilizan las reglas NAT para permitir comunicaciones salientes y publicar servicios internos.

Se busca configurar correctamente políticas entre zonas para permitir que las redes internas puedan comunicarse con Internet, que la DMZ pueda obtener conectividad saliente cuando sea necesario, que las redes LAN puedan comunicarse entre sí y que desde la WAN se pueda acceder únicamente a servicios concretos publicados en la DMZ.

También se pretende entender la diferencia entre una regla de firewall y una regla NAT. La regla NAT modifica direcciones o puertos, mientras que la regla de firewall decide si ese tráfico está permitido o no. Ambas deben trabajar juntas para que la comunicación funcione correctamente.

Al finalizar, se habrá construido un flujo realista de publicación de servicios en DMZ mediante Sophos Firewall.

🧱 Firewall: tráfico permitido

Para configurar una zona desmilitarizada en la red de la organización, es necesario contar con un cortafuegos o firewall. Este dispositivo, será el encargado de segmentar la red y permitir o denegar las conexiones. En la siguiente tabla, de manera somera, se muestra el tipo de conexiones recomendables que permitiría o denegaría el firewall dependiendo su origen y destino:

La siguiente imagen muestra de forma gráfica el tráfico permitido y denegado por el firewall.

Fuente: INCIBE

🧩 Desarrollo de la práctica

🧱 Diseño del escenario de red

Antes de crear reglas, es importante comprender el escenario.

Sophos Firewall estará situado entre varias redes. Por un lado, tendrá una interfaz WAN conectada hacia el exterior. Por otro lado, tendrá redes internas como LAN, LAN/SRV y DMZ.

La DMZ tendrá un servidor con IP fija:

Servidor DMZ → 192.168.40.2

Este servidor será utilizado para dos servicios:

• SSH, escuchando internamente en el puerto 22.
• Apache, escuchando internamente en el puerto 80.

La idea no es permitir acceso completo desde la WAN hacia la DMZ, sino únicamente publicar los servicios concretos necesarios. Esto es clave porque una DMZ debe ser una zona controlada, no una extensión abierta de la red interna.

🔐 Diferencia entre reglas de firewall y reglas NAT

Uno de los puntos más importantes de esta práctica es entender que NAT y firewall no son lo mismo.

Una regla NAT se encarga de traducir direcciones o puertos. Por ejemplo, puede decir que todo lo que llegue al puerto 2222 de la WAN debe enviarse al puerto 22 del servidor 192.168.40.2.

Pero esa traducción no significa automáticamente que el tráfico esté permitido. Para que funcione, debe existir una política de firewall que autorice ese flujo.

Por eso, en cualquier configuración profesional hay que pensar en dos preguntas:

1. ¿Necesito traducir dirección o puerto?
   Si la respuesta es sí, se configura NAT.
2. ¿Debe permitirse ese tráfico?
   Si la respuesta es sí, se configura una regla de firewall.

Cuando ambas cosas están correctamente configuradas, la comunicación funciona.

🌐 Política LAN → WAN

La primera política permitirá que los equipos de la LAN puedan acceder a Internet.

Esta regla es habitual en cualquier entorno, ya que los usuarios o sistemas internos necesitan conectividad saliente para navegar, actualizar paquetes, acceder a servicios cloud o comunicarse con recursos externos.

En esta política, el origen será la red LAN y el destino será la WAN. Los servicios permitidos pueden ser generales al inicio del laboratorio, aunque en producción lo recomendable sería limitar el tráfico según necesidades reales.

Esta regla normalmente trabaja junto a SNAT, ya que los equipos LAN tienen direcciones privadas y necesitan salir a Internet usando la IP WAN del firewall.

🌍 Política DMZ → WAN

La segunda política permitirá que el servidor de la DMZ tenga salida hacia Internet.

Esto puede ser necesario para descargar actualizaciones, instalar paquetes, sincronizar repositorios o comunicarse con servicios externos.

Sin embargo, esta regla debe ser más restrictiva que la regla LAN → WAN. La razón es que un servidor en DMZ está más expuesto. Si este servidor fuera comprometido, una salida demasiado permisiva podría facilitar conexiones maliciosas hacia el exterior.

En un entorno real, se permitiría únicamente lo necesario, como DNS, HTTP/HTTPS para actualizaciones o destinos específicos. En el laboratorio se puede permitir inicialmente más tráfico para validar conectividad, pero es importante comprender que no debe ser la configuración final ideal.

🔄 Política entre las dos redes LAN

También se configurará una política para permitir comunicación entre las dos redes LAN.

Este tipo de regla es útil cuando existen redes separadas con funciones distintas, por ejemplo:

• LAN de usuarios.
• LAN de servidores.
• LAN de administración.

Permitir comunicación entre ambas redes no significa abrir todo sin control. Lo recomendable es definir qué red puede iniciar la comunicación, hacia qué destino y con qué servicios.

Por ejemplo, una LAN de administración podría necesitar acceso SSH, RDP o web hacia servidores internos, pero no necesariamente permitir que cualquier equipo de usuario acceda a todos los puertos de todos los servidores.

En esta práctica, la regla permitirá validar conectividad entre ambas redes LAN, dejando preparada la base para políticas más específicas en prácticas posteriores.

🧱 Política WAN → DMZ

La política WAN → DMZ será necesaria para permitir conexiones entrantes desde el exterior hacia servicios publicados en la DMZ.

Esta regla debe tratarse con especial cuidado porque cualquier tráfico permitido desde WAN aumenta la superficie de exposición del entorno.

No se debe permitir acceso completo desde WAN hacia la DMZ. La política debe limitarse exclusivamente a los servicios publicados mediante DNAT:

• SSH publicado mediante puerto externo 2222.
• Web Apache publicado mediante puerto externo 8888.

Este enfoque permite aplicar una exposición controlada. Sophos recibirá la conexión en su interfaz WAN, aplicará DNAT hacia el servidor DMZ y permitirá únicamente el tráfico definido.

🔁 Configuración de SNAT para tráfico saliente

SNAT se aplicará para permitir que las redes internas puedan salir hacia Internet utilizando la IP WAN de Sophos.

Esto será necesario para:

• LAN → WAN
• DMZ → WAN

Cuando un equipo interno envía tráfico a Internet, Sophos reemplaza la IP privada de origen por su IP WAN. De esta forma, los servidores externos pueden responder correctamente.

Sin SNAT, el tráfico saliente podría llegar a Internet con una IP privada no enrutable, lo que impediría la comunicación.

En Sophos, esta configuración puede gestionarse mediante reglas NAT automáticas o reglas NAT específicas, dependiendo del diseño del laboratorio. Lo importante es comprender que el tráfico saliente necesita traducción de origen para funcionar correctamente hacia redes públicas.

🔀 DNAT para acceso SSH desde WAN a servidor DMZ

La primera regla DNAT publicará el servicio SSH del servidor DMZ.

El flujo será:

WAN Sophos puerto 2222 → 192.168.40.2 puerto 22

Esto significa que un cliente externo se conectará a la IP WAN de Sophos usando el puerto 2222. Sophos recibirá esa conexión y la redirigirá internamente al puerto 22 del servidor ubicado en la DMZ.

Este tipo de redirección se conoce también como port forwarding.

La ventaja de utilizar el puerto externo 2222 es que no se expone directamente el puerto estándar 22 en la WAN. Aun así, esto no debe considerarse una medida de seguridad suficiente por sí sola. Es recomendable complementar con restricciones de origen, autenticación por clave, logs y políticas de bloqueo ante fuerza bruta.

🔐 Validación de conexión SSH

Una vez configurado el DNAT y la regla de firewall correspondiente, se validará el acceso SSH hacia la máquina de la DMZ.

La prueba consistirá en conectarse desde una red externa o desde un segmento que simule la WAN hacia la IP WAN de Sophos usando el puerto 2222.

Si la configuración es correcta, Sophos traducirá la conexión hacia el servidor 192.168.40.2 en el puerto 22 y se abrirá la sesión SSH.

Esta validación confirma tres elementos:

• La regla DNAT funciona.
• La política WAN → DMZ permite el tráfico.
• El servidor SSH en la DMZ está operativo.

🌍 Instalación y validación de Apache en la DMZ

Después de validar SSH, se instalará un servidor web Apache de prueba en el servidor de la DMZ.

Apache escuchará internamente en el puerto 80. Su función será proporcionar una página web simple que permita comprobar la publicación de servicios HTTP desde la WAN.

Este paso es importante porque representa un caso muy común en empresas: tener un servidor web en una DMZ que debe ser accesible desde fuera, pero sin exponer directamente la red interna.

Antes de publicar el servicio, se debe comprobar que Apache funciona correctamente dentro de la DMZ. Esto ayuda a separar problemas: primero se valida el servicio local y después se valida la publicación mediante firewall.

🔀 DNAT para acceso web desde WAN a Apache

La segunda regla DNAT publicará el servicio web Apache.

El flujo será:

WAN Sophos puerto 8888 → 192.168.40.2 puerto 80

Cuando un cliente acceda a la IP WAN de Sophos en el puerto 8888, el firewall redirigirá la conexión al puerto 80 del servidor DMZ.

Este tipo de configuración permite publicar varios servicios internos usando puertos externos distintos. También permite evitar exponer directamente el puerto interno real, aunque en producción lo ideal sería publicar servicios web mediante HTTPS y, si es posible, detrás de un reverse proxy o WAF.

🧪 Validación del acceso web

Para validar la regla DNAT del servicio web, se accederá desde un navegador a la IP WAN de Sophos utilizando el puerto 8888.

Si la configuración es correcta, se mostrará la página de Apache alojada en el servidor DMZ.

Esta prueba confirma:

• Que Apache está funcionando.
• Que el DNAT hacia el puerto 80 funciona.
• Que la política WAN → DMZ permite la conexión.
• Que Sophos está publicando correctamente el servicio.

📊 Revisión de logs en Sophos

Una parte fundamental de la práctica será revisar los logs del firewall.

Los logs permiten comprobar si el tráfico está siendo permitido, bloqueado o traducido correctamente. En caso de error, ayudan a identificar si el problema está en la regla NAT, en la política de firewall, en el servicio del servidor o en la conectividad.

En entornos empresariales, los logs no son opcionales. Son esenciales para auditoría, diagnóstico y seguridad.

Durante la práctica, revisar los logs permitirá confirmar que las conexiones SSH y HTTP llegan desde la WAN, se traducen hacia la DMZ y son aceptadas por las políticas configuradas.

🛡️ Consideraciones de seguridad

Aunque en esta práctica se publican SSH y HTTP para fines de laboratorio, en un entorno real se deben aplicar medidas adicionales.

Para SSH, lo recomendable sería:

• Permitir acceso solo desde IPs autorizadas.
• Usar autenticación por clave.
• Deshabilitar acceso por contraseña.
• Evitar acceso root.
• Activar protección frente a fuerza bruta.
• Preferir acceso por VPN cuando sea posible.

Para Apache, lo recomendable sería:

• Utilizar HTTPS.
• Aplicar hardening del servidor.
• Limitar métodos HTTP innecesarios.
• Monitorizar logs.
• Colocar un reverse proxy o WAF si el servicio es crítico.

La idea clave es que publicar servicios no significa abrir la red. Significa exponer únicamente lo necesario, con controles claros y trazabilidad.

🔍 ¿Por qué es importante esta práctica?

Esta práctica es importante porque enseña cómo se conectan los conceptos básicos de arquitectura de red con la exposición real de servicios.

En cualquier empresa, tarde o temprano será necesario permitir que ciertas redes salgan a Internet o que determinados servicios sean accesibles desde fuera. Si esto se hace sin control, se crean riesgos graves. Si se hace correctamente, mediante reglas específicas, NAT, segmentación y logs, se obtiene una arquitectura mucho más segura y administrable.

Comprender SNAT y DNAT es fundamental para trabajar con firewalls, publicación de servicios, DMZ, acceso remoto y arquitecturas empresariales.

Además, esta práctica permite entender que una DMZ solo tiene sentido si el tráfico está controlado. No basta con crear una red separada; hay que definir exactamente qué entra, qué sale y qué queda bloqueado.

✅ Resultados esperados

Al finalizar la práctica, Sophos Firewall tendrá configuradas las políticas necesarias para permitir comunicación controlada entre las redes del laboratorio.

La LAN podrá comunicarse con la WAN, la DMZ podrá tener salida hacia Internet y las redes LAN podrán comunicarse entre sí según las políticas definidas.

También quedarán publicados dos servicios desde la WAN hacia el servidor DMZ 192.168.40.2:

• SSH mediante WAN:2222 → DMZ:22
• Apache mediante WAN:8888 → DMZ:80

Se habrá validado la conexión SSH hacia la máquina de la DMZ y el acceso web al servidor Apache desde la WAN.

El flujo completo implementado será:

Políticas entre zonas → SNAT saliente → DNAT entrante → Publicación de servicios → Validación → Logs

🏢 Propuesta empresarial

La empresa Clockwork Computer dispone de una infraestructura segmentada mediante Sophos Firewall. Actualmente cuenta con varias redes internas y una zona DMZ destinada a alojar servicios que deben ser accesibles desde redes externas.

El departamento de IT necesita implementar una serie de reglas y servicios para permitir la conectividad controlada entre redes y publicar recursos específicos ubicados en la DMZ, sin comprometer la seguridad de los activos internos.

La empresa solicita configurar las siguientes necesidades:

1. Permitir que la red LAN tenga salida hacia Internet mediante la WAN.
2. Permitir que los servidores ubicados en la DMZ puedan acceder a Internet para actualizaciones y mantenimiento.
3. Permitir comunicación controlada entre las dos redes LAN existentes.
4. Publicar el acceso SSH hacia un servidor de administración ubicado en la DMZ.
5. Publicar un servicio web Apache alojado en ese mismo servidor DMZ.
6. Garantizar que únicamente los puertos necesarios sean expuestos.
7. Validar todas las conexiones mediante pruebas reales y revisión de logs.

El servidor de la DMZ tiene la dirección IP:

192.168.40.2

Los servicios que deben publicarse son:

• SSH interno en puerto 22, accesible externamente mediante el puerto 2222 de la WAN de Sophos.
• HTTP interno en puerto 80, accesible externamente mediante el puerto 8888 de la WAN de Sophos.

Como resultado, Clockwork Computer debe disponer de una configuración segura y documentada que permita publicar servicios de la DMZ hacia el exterior, manteniendo separadas las redes internas y aplicando reglas explícitas para cada flujo de comunicación.

Esta práctica representa un caso típico de examen o escenario empresarial, donde se evalúa la capacidad de diseñar reglas de firewall, aplicar NAT correctamente y validar la exposición controlada de servicios en una arquitectura segmentada.

⚙️ Estructura de red