iptables与stun (Full Cone、Restricted Cone、Port Restricted Cone和Symmetric)

最新推荐文章于 2022-12-06 19:51:13 发布
原创 最新推荐文章于 2022-12-06 19:51:13 发布 · 7.8k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ip nat 网络

本文详细解析了iptables在转换地址时遵循的规则,并通过实例对比了其与Symmetric NAT的特点,揭示了iptables实际属于Symmetric NAT类型。

Stun协议(Rfc3489、详见http://www.ietf.org/rfc /rfc3489.txt)将NAT粗略分为4种类型,即Full Cone、Restricted Cone、Port Restricted Cone和Symmetric。举个实际例子来说明这四种NAT的区别:

A机器在私网(192.168.0.4)

NAT服务器(210.21.12.140)

B机器在公网(210.15.27.166)

C机器在公网(210.15.27.140)

现在,A机器连接过B机器,假设是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)。

同时A从来没有和C通信过。

则对于不同类型的NAT,有下列不同的结果:

Full Cone NAT:C发数据到210.21.12.140:8000,NAT会将数据包送到A(192.168.0.4:5000)。因为NAT上已经有了192.168.0.4:5000到210.21.12.140:8000的映射。

Restricted Cone:C无法和A通信,因为A从来没有和C通信过,NAT将拒绝C试图与A连接的动作。但B可以通过210.21.12.140:8000与A的 192.168.0.4:5000通信,且这里B可以使用任何端口与A通信。如:210.15.27.166:2001 -> 210.21.12.140:8000,NAT会送到A的5000端口上。

Port Restricted Cone:C无法与A通信,因为A从来没有和C通信过。而B也只能用它的210.15.27.166:2000与A的192.168.0.4:5000通信,因为A也从来没有和B的其他端口通信过。该类型NAT是端口受限的。

Symmetric NAT:上面3种类型,统称为Cone NAT,有一个共同点:只要是从同一个内部地址和端口出来的包,NAT都将它转换成同一个外部地址和端口。但是Symmetric有点不同,具体表现在: 只要是从同一个内部地址和端口出来,且到同一个外部目标地址和端口,则NAT也都将它转换成同一个外部地址和端口。但如果从同一个内部地址和端口出来,是 到另一个外部目标地址和端口,则NAT将使用不同的映射,转换成不同的端口(外部地址只有一个,故不变)。而且和Port Restricted Cone一样,只有曾经收到过内部地址发来包的外部地址,才能通过NAT映射后的地址向该内部地址发包。

现针对Symmetric NAT举例说明(承接前例):

A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)

如果此时A机器(192.168.0.4:5000)还想连接C机器 (210.15.27.140:2000),则NAT上产生一个新的映射,对应的转换可能为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8001)-> C(210.15.27.140:2000)。此时,B只能用它的210.15.27.166:2000通过NAT的 210.21.12.140:8000与A的192.168.0.4:5000通信, C也只能用它的210.15.27.140:2000通过NAT的210.21.12.140:8001与A的192.168.0.4:5000通信,而 B或者C的其他端口则均不能和A的192.168.0.4:5000通信。

通过上面的例子,我们应该清楚了Stun协议对NAT进行分类的依据。那么,我们现在根据上述分类标准(或例子),来简要分析一下iptables的工作原理,看看他又是属于哪种NAT呢?

首先,我们去网上下载一个使用Stun协议检测NAT的工具,网址在http://sourceforge.net/projects/stun/,使用该工具对iptables的检测结果是Port restricted NAT detected。

我们先不要急着接受这个检测结果,还是先来分析一下iptables的工作原理吧!

iptables在转换地址时,遵循如下两个原则:

1、尽量不去修改源端口,也就是说,ip伪装后的源端口尽可能保持不变。

2、更为重要的是,ip伪装后只需保证伪装后的源地址/端口与目标地址/端口(即所谓的socket)唯一即可。

仍以前例说明如下:

A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)。(注意,此处NAT遵循原则1、故转换后端口没有改变)

如果此时A机器(192.168.0.4:5000)还想连接C机器 (210.15.27.140:2000),则NAT上产生一个新的映射,但对应的转换仍然有可能为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)。这是因为NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)和NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)这两个socket不重复。因此,对于iptables来说,这既是允许的(第2条原则)、也是必然的(第1 条原则)。

在该例中,表面上看起来iptables似乎不属于Symmetric NAT,因为它看起来不符合Symmetric NAT的要求:如果从同一个内部地址和端口出来,是到另一个目标地址和端口,则NAT将使用不同的映射,转换成不同的端口(外部地址只有一个,故不变)。 相反,倒是符合除Symmetric NAT外的三种Cone NAT的要求:从同一个内部地址和端口出来的包,NAT都将它转换成同一个外部地址和端口。加上iptables具有端口受限的属性(这一点不容置疑,后 面举反例证明之),所以好多检测工具就把iptables报告为Port restricted NAT类型了。

下面仍以前例接着分析:

在前例中增加D机器在私网(192.168.0.5)

A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)

D机器连接过C机器,假使是 D(192.168.0.5:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)

由iptables转换原则可知,上述两个转换是允许且必然的。

如果此时A机器(192.168.0.4:5000)还想连接C机器 (210.15.27.140:2000),则NAT上产生一个新的映射,但对应的转换则变为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5001)-> C(210.15.27.140:2000)。这是因为,如果仍然将其转换为210.21.12.140:5000的话,则其所构成的 socket(210.21.12.140:5000->210.15.27.140:2000)将和D->C的socket一致,产生冲 突,不符合iptables的第2条原则。(注意,此处以5001表示转换后不同的端口,但事实上,iptables却并不按照内部端口+1的原则来产生 新的端口)。

在本例中,从同一个内部地址和端口(192.168.0.4:5000)出来,到另一个目标地址和端口,则NAT使用了不同的映射,转换成不同的端口。显然,该现象又满足了Symmetric NAT的要求,同时不能够满足Cone NAT的要求。

我们再来回顾一下Stun协议对Cone NAT的要求:所有(或只要是)从同一个内部地址和端口出来的包,NAT都将它转换成同一个外部地址和端口。虽然iptables在大部分情况下满足“从 同一个内部地址和端口出来的包,都将把他转换成同一个外部地址和端口”这一要求,但它不能在所有情况侣阏庖灰蟆K岳砺凵希颐蔷椭荒馨裪 ptables归为Symmetric NAT了。(但在事实上,按照前面例子或者Stun协议里给出的Discovery Process,大部分情况下对iptables的检测结果必然是Port restricted NAT)

为什么会出现上述矛盾的情况呢,关键在于Stun协议和iptables对映射的理解不同。Stun协议认为,一个映射的要素是:内部地址端口和NAT转换后地址端口的组合。而在iptables看来,一个映射的要素是:NAT转换后地址端口和外部目标地址端口的组合。

下面,我们再来分析一下iptables的端口受限的属性,我们举一个反例证明之,仍以前例说明如下:

A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)

D机器连接过C机器,假使是 D(192.168.0.5:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)

现假设iptables不具有端口受限的属性,则另一E机器在公网 (210.15.27.153:2000)或C(210.15.27.140:2001)向210.21.12.140:5000发包的话,应该能够发到 内部机器上。但事实是,当这个包到达NAT(210.21.12.140:5000)时,NAT将不知道把这个包发给 A(192.168.0.4:5000)还是D(192.168.0.5:5000)。显然,该包只能丢弃,至此,足以证明iptables具有端口受限 的属性。

所以,iptables是货真价实的Symmetric NAT。

附:

1、Stun全称Simple Traversal of UDP Through NATs,所以本文所涉及的包,皆为UDP包。

2、本文虽然是针对linux下iptables的分析,但倘若把本文中关键词 “iptables”换成“Win2000下的ics或nat”,则本文的分析过程完全适用于Win2000下的ics或nat。即理论上Win2000 下的ics或nat也是货真价实的Symmetric NAT,但实际上,大部分情况下,检测结果必然是Port restricted NAT。为什么Win2000下的ics或nat和iptables的分类是如此一致呢?因为Win2000下的ics或nat在进行NAT转换时,遵循 和iptables完全一样的两个原则。

unicore-tracy
关注
Kubernetes kube-proxy的iptablesipvs模式
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
07-28 6266
kube-proxy支持多种不同的代理模式,其中iptablesipvs是最常用的两种。
全网超详细的Linux iptables命令详解以及详解iptables-saveiptables-restore命令
念兮为美
02-21 5247
全网超详细的Linux iptables命令详解,详解iptables-saveiptables-restore命令,防火墙的备份删除,iptables的四表——filter表(过滤规则表)nat(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
NAT的四种类型以及类型探测
Jian Sun_的博客
12-06 2万+
NAT的四种类型以及类型探测
NAT的四种类型
热门推荐
eydwyz的专栏
02-15 13万+
简述 基于UDP的P2P应用需要考虑NAT的类型,因为不同的NAT组合的穿透的方式并不一致,有的能通, 有的不能通。 一般来讲, NAT可以分为四种类型,分别是:   1, 全锥型(Full Cone) 2,  受限锥型(Restricted Cone), 或者说是IP受限锥型 3,  端口受限锥型(Port Restricted Cone), 或者说是IP + PORT受限锥型 4...
基于STUN协议的NAT穿越相关知识点
纯粹的博客
04-02 2183
一、预备知识 <1>STUN消息格式 STUN 消息都是由消息头载核数据构成的,STUN消息头格式: 消息类型消息长度(除了消息头长度)都为 2 字节,而事务 ID 为16 字节。消息类型许可的值如下 (1)捆绑请求(Binding Requests)STUN Binding Request使用UDP协议发送到STUN服务器,当Binding Request消息到达服务器的...
[NatType]路由器四种NATFull Cone NAT/Restricted Cone NAT/Port Restricted Cone NAT/Symmetric NAT)类型说明
wgl307293845的博客
09-24 7万+
NAT分类 一般NAT可以分为四种类型 1.全锥型NATFull Cone NAT) 2.受限锥型NATRestricted Cone NAT)或者说是IP受限锥型NAT 3.端口受限锥型NATPort Restricted Cone NAT)或者说是IP+PORT受限锥型NAT 4.对称型NAT(Symmetric NAT) 其中1、2、3属于同一种类型,都是锥型,区别是路由的不通安全策略 NAT的工作原理 NAT缓解了IPV4地址不够用的问题,同时也也带了限制,那就是...
Netfilter学习之NAT类型动态配置(六)全锥型NAT用户空间iptables命令行实现
ty的博客
04-22 1836
  本文主要实现全锥型NAT的用户空间iptables命令行扩展的实现,实现思路见上文,具体可以模仿MASQUERADE的源码进行改写。 1.关键部分实现代码   由于fullcone类型并不需要输入参数,因此parse可以为空,printsave也很简单,只需要help结构注册两部分保证正确即可。   help如下: static void FULLCONE_help(voi...
探究 CentOS 7 下 iptables firewalld 切换过程中,谁主沉浮
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
01-20 2712
最近需要开发一个 iptables 的可视化管理平台,研究了一下 iptables firewalld 这两个防火墙。CentOS 6 上 iptables 作为默认防火墙,这个比较好控制。对于 CentOS7 中,这两个防火墙之间切换时,到底谁起主要作用呢?又怎么控制规则呢?
是的,你完全可以在 Windows 的终端(CMD 或 PowerShell)中完成大部分 NAT 类型探测实验,而不需要编写额外的程序,前提是你的网络环境支持以下条件: ✅ 你可以在 Windows 终端上完成以下操作: 查看公网 IP 地址 使用 ping、tracert、arp 等命令分析网络 使用 netsh 命令配置网络接口 使用 ncat(Netcat)或 Test-NetConnection 发送 UDP/TCP 包 使用 Wireshark 抓包分析 NAT 行为 🧪 实验前提 你需要以下工具: 两台 Windows 主机(Host A Host B) 一台路由器(可以是普通家用路由器或用 Linux 模拟的 NAT 网关) 可选:安装 ncat(Nmap 项目的一部分) 🧰 实验步骤(无需编程) 步骤 1:查看本机公网地址(模拟公网服务器) 你可以通过访问公网服务获取你的公网地址: Shell curl ifconfig.me 输出示例: 203.0.113.45 这表示你当前主机在公网看到的 IP 地址。 步骤 2:使用 Test-NetConnection 发送 UDP/TCP 包(PowerShell) Shell Test-NetConnection 公网IP -Port 8888 这会尝试建立 TCP 连接。如果你需要发送 UDP 包,推荐使用 ncat。 步骤 3:使用 ncat 发送 UDP 包(Windows) 下载 Nmap,安装后你会得到 ncat.exe。 Host A(作为公网服务器)监听 UDP 端口: cmd ncat -uv -l -p 8888 Host B(作为内网主机)发送 UDP 包: cmd echo Hello NAT | ncat -uv 公网IP 8888 步骤 4:观察 Host A 是否收到包 如果 Host A 收到包,说明可能是 Full Cone NAT 如果收不到,但 Host A 主动发包给 Host B 后 Host B 能收到,说明可能是 Restricted Cone 如果 Host B 必须向 Host A 的特定端口发送包才能通信,说明是 Port-Restricted Cone 如果 Host A 每次连接公网都使用不同的端口,则是 Symmetric NAT 步骤 5:查看 NAT 映射端口是否变化(Symmetric 判断) 多次运行: cmd echo "test" | ncat -uv 公网IP 8888 然后在公网服务器上查看每次的源端口号是否不同。 📊 判断 NAT 类型的标准(终端操作) NAT 类型 Host A 是否能收到 Host B 的包 Host A 主动发包后 Host B 是否能收到 源端口是否变化 Full Cone ✅ ✅ ❌ Restricted Cone ❌ ✅ ❌ Port-Restricted Cone ❌ ✅(需指定端口) ❌ Symmetric ❌ ❌(需中继或 STUN) ✅ 🧰 其他有用的命令 查看路由表: cmd route print 查看 ARP 表: cmd arp -a 查看本地端口监听情况: cmd netstat -an | findstr :8888 ✅ 总结 你不需要写程序,在 Windows 的终端中就可以完成以下操作: 发送 UDP/TCP 包 监听端口 查看公网地址 分析 NAT 行为 判断 NAT 类型 当然,如果你希望自动化、更精确地探测,使用 Python 编写脚本会更方便,但终端操作已经足够完成 NAT 类型的初步判断。重新详细地描述一下实验步骤拓扑图
最新发布
08-20
通过终端命令判断本地网络NAT 类型(Full Cone / Restricted Cone / Port-Restricted Cone / Symmetric),了解 NAT 的行为特性。 --- ## 实验拓扑结构 ``` Internet | | (公网IP: 203.0.113.45) | +------...
Linux学习总结(48)——Linux防火墙iptablesfirewalld学习总结
科技D人生
06-26 5730
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端图形界面配置。语法iptables(选项)(参数)选项-t&lt;表&gt;:指定要操纵的表;-A:向规则链中添加条目;-D:从规则链中删除条目;-i:向规则链中插入条目;-R:替换规则链中的条目;-L:显示规则链中已有的条目;-F:清楚规则链中已有的条目;-Z:清空规则链中的数...
Symetric NATRestricted Cone NAT
HuZhenXing
09-20 1494
The diffierence between Symetric NAT and Restricted Cone NAT A symmetric NAT applies restrictions exactly the same way as a port restricted cone NAT but handles the NAT translation differently. All ty...
How to allow a restricted port
u010449582的专栏
07-28 702
用firefox 访问某一带有特殊端口的网站诸如https://x.x.x.x:xxxxx时被限制了。 需要手动开启这个端口,方法如下    在地址栏输入about:config ,    然后寻找network.security.ports.banned.override,    若有双击打开后添加你需要开启的端口(逗号隔开),    若没有则手动新建(右键-->new-->strin
MDM9640设置NatType为FullCone Nat操作说明
wgl307293845的博客
10-28 876
修改MDM9640的NatType为FullCone 修改防火墙规则 iptables -t nat -A PREROUTING -i rmnet_data0 -j NATTYPE--mode:dnat --type: 1 iptables -t nat -A POSTROUTING -o rmnet_data0 -j MASQUERADE iptables -t nat -A POSTROUTING -o rmnet_data0 -j NATTYPE--mode:forward_out --type
linux7必须输入网关,Centos 7当网关启用Fullcone nat
weixin_29530431的博客
05-14 688
原GitHub链接:https://github.com/Chion82/netfilter-full-cone-nat笔者编译成功的平台有:X86,Arm,Arm64,系统内核均为4.1以上。经过测试,以下系统成功启用FULLCONENATCentos7,Debian9,Ubuntu,Armbian,Raspbian0、完整安装内核,一套包括:kernel,tools,devel,headers...
Netfilter学习之NAT类型动态配置(一)iptablesNetfilter简介
ty的博客
11-28 1860
  通过一段时间的学习,我发现目前尚未有公开的技术实现NAPT的动态配置,仅仅通过iptables实现一些固定的配置无法满足动态配置的需求。因此,本系列博客目的在于通过对NetfilterIptables的学习,通过内核编程实现Full ConeRestricted Cone, Port Restricted ConeSymmetric NAPT的配置。   介绍iptablesNet...
四种NATiptables实现
乖乖的专栏
01-05 5837
IPtabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)数据包的分割等功能。本文讲述的是四种NATiptables的实现。 四种NATiptables实现: 1. Full Cone NAT:所有来自同一个内部Tuple X的请求均被NAT转换至同一个
NAT穿越技术
自由麦田
01-13 4406
在VOIP通话中,穿越NAT进行SIP信息的传输非常有必要,分析了NAT的类型,SIP无法穿越NAT的原因,利用STUN进行NAT类型预测穿越打洞,TURN协议,ICE协议以及对ICE进行扩展,实现端口预测关于对称NAT的穿越
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值