Restringir acceso mediante NAT

[rede3]

Hola, me gustaría preguntados una duda con NAT a ver si podéis echarme un cable:

Tengo este esquemita:

SERVIDOR (162.0.0.2) ----- ROUTER ----- INTERNET
                                             |
                                             |
                                             |
                                  PC1 (170.0.0.2)

El servidor tiene asignado una dirección Pública, por ejemplo (162.0.0.2), tiene instalado un servicio de páginas web (puerto 8080), por ejemplo apache. Usando tablas NAT/NAPT, tengo que restringir el acceso de tal manera que:

Al servidor sólo puedan acceder desde Internet y al puerto 8080.

El PC1 sólo pueda comunicarse con internet y no puede haber comunicación con el servidor.

Como podría hacer esto usando exclusivamente tablas NAT/NAPT?

Y otra cuestión, yo pensaba que NAT era con direcciones privadas, pero viendo el ejercicio, también se puede usar con direcciones públicas? 

Gracias por la ayuda que me podáis brindar

Un saludo

[estepeño]

Para restringir el acceso usa las listas de control de acceso en el router, de tal manera que crees una politica de seguridad a tu medida, imponiendo las normas de acceso al servidor.

Sabes como se hace??

saludos

[rede3]

La verdad es que no, pero el ejercicio me exige el uso de tablas NAPT/NAT 

[Netlink]

La dirección pública 162.0.0.2 se le asigna a la interface WAN del router, al servidor web le asignas una dirección privada por ejemplo 192.168.1.10.

Luego en el router redireccionas las peticiones al puerto 8080 a la IP del server 192.168.1.10.

Desde el exterior las peticiones al web server aparecerán dirigidas a la dirección pública 162.0.0.2 aunque en realidad el servidor tiene una dirección privada.

En este caso y básicamente eso sería NAT.

Saludos.

[rede3]

Y se puede hacer esto que me cuentas si la dirección interna es pública como he puesto en el esquemita? Ya sé que no tiene mucho sentido porque las peticiones irían directamente a ese host, pero podrían hacerse las peticiones a la interfaz del router que esta conectada a Internet, y después el router natear hacía el servidor?

[Netlink]

Habría que ver el enunciado exacto del ejercicio.
Lo que planteas lo resolvería el router mediante el procotolo de enrutamiento correspondiente, solo tendrías que configurar alguna lista de control de acceso por el tema de puertos.
Si consultas los RFC, en los que se basa la comunidad internacional para fijar los estandares, las tablas NAT/NAPT hablan de comunicaciones entre redes públicas-privadas.

"La Traducción de Dirección de Red Básica o NAT Básico es un método
   por el que las direcciones IP son mapeadas desde un grupo a otro, de
   manera transparente para el usuario final. La Traducción de Puerto
   Dirección de Red, o NAPT es un método por el que muchas direcciones
   de red y sus puertos TCP/UDP (Protocolo de Control de
   Transmisión/Protocolo de Datagrama de Usuario) son traducidos a una
   sola dirección de red y sus puertos TCP/UDP. Juntas, estas dos
   operaciones, son referidas como NAT Tradicional, proporcionando un
   mecanismo para conectar un dominio con direcciones privadas a un
   dominio externo con direcciones registradas globalmente únicas.
"

Extraido de http://www.rfc-es.org/rfc/rfc3022-es.txt

Por lo tanto entiendo que aún en el caso de que el IOS del dispositivo permitiera configurar NAT entre dos direcciones públicas no respondería a los estandares y no se podría extrapolar al conjunto de los dispositivos de los diferentes fabricantes, o sea daría problemas.

Saludos.