CONE NAT 和 Symmetric NAT

最新推荐文章于 2023-03-14 17:18:14 发布
最新推荐文章于 2023-03-14 17:18:14 发布
阅读量2k 收藏 3
点赞数 2


1. NAT 的划分

RFC3489 中将 NAT 的实现分为四大类:

1. Full Cone NAT                          完全锥形 NAT

2. Restricted Cone NAT                 限制锥形 NAT (可以理解为 IP 限制)

3. Port Restricted Cone NAT          端口限制锥形 NAT  IP+Port 限制)

4. Symmetric NAT                        对称 NAT

其中完全锥形的穿透性最好,而对称形的安全性最高


******概念******

Full cone NAT,亦即著名的一对一(one-to-one)NAT

  • 一旦一个内部地址(iAddr:port1)映射到外部地址(eAddr:port2),所有发自iAddr:port1的包都经由eAddr:port2向外发送。任意外部主机都能通过给eAddr:port2发包到达iAddr:port1

Address-Restricted cone NAT,受限锥形NAT

  • 一旦一个内部地址(iAddr:port1)映射到外部地址(eAddr:port2),所有发自iAddr:port1的包都经由eAddr:port2向外发送。任意外部主机(hostAddr:any)都能通过给eAddr:port2发包到达iAddr:port1的前提是:iAddr:port1之前发送过包到hostAddr:any. "any"也就是说端口不受限制

Port-Restricted cone NAT,端口受限锥形NAT

类似受限制锥形NAT(Restricted cone NAT),但是还有端口限制。

  • 一旦一个内部地址(iAddr:port1)映射到外部地址(eAddr:port2),所有发自iAddr:port1的包都经由eAddr:port2向外发送。一个外部主机(hostAddr:port3)能够发包到达iAddr:port1的前提是:iAddr:port1之前发送过包到hostAddr:port3.

Symmetric NAT(对称NAT)

  • 每一个来自相同内部IP与端口,到一个特定目的地地址和端口的请求,都映射到一个独特的外部IP地址和端口。

同一内部IP与端口发到不同的目的地和端口的信息包,都使用不同的映射

  • 只有曾经收到过内部主机数据包的外部主机,才能够把数据包发回

 


 

1.1 锥形NAT与对称NAT的区别

所谓锥形NAT 是指:只要是从同一个内部地址和端口出来的包,无论目的地址是否相同,NAT 都将它转换成同一个外部地址和端口。

 

“同一个外部地址和端口”与“无论目的地址是否相同”形成了一个类似锥形的网络结构,也是这一名称的由来。

 

反过来,不满足这一条件的即为对称NAT 。

 

1.2 举例说明

假设:

  1. NAT 内的主机 A  IP 记为 A ,使用端口 1000
  2. NAT 网关     :   IP 记为 NAT ,用于 NAT 的端口池假设为( 5001-5999 
  3. 公网上的主机 B  IP 记为B ,开放端口 2000
  4. 公网上的主机 C    IP 记为C ,开放端口 3000

假设主机 A 先后访问主机 B  C

 

1 )如果是锥形 NAT 


那么成功连接后,状态必然如下:

A  1000  —— >  NAT  5001 )—— >  B  2000 

A  1000  —— >  NAT  5001 )—— >  C  3000 

也就是说,只要是从 A 主机的 1000 端口发出的包,经过地址转换后的源端口一定相同。

2 )如果是对称形 NAT 

连接后,状态有可能(注意是可能,不是一定)如下:

A  1000  —— >  NAT  5001 )—— >  B  2000 

A  1000  —— >  NAT  5002 )—— >  C  3000 

两者的区别显而易见。

 

1.3 三种CONE NAT之间的区别

仍然以上面的网络环境为例, 假设 A 先与 B 建立了连接:

A  1000  —— >  NAT  5001 )——— >  B  2000 

 

1) Port Restricted Cone NAT:

只有 B  2000 )发往 NAT  5001 )的数据包可以到达 A  1000 

===========================================================

B  2000  —— >  NAT  5001  ——— >   A  1000 

B  3000  —— >  NAT  5001   X  >   A  1000 

C  2000  —— >  NAT  5001   X  >   A  1000 

 

2) Restricted Cone NAT

只要是从 B 主机发往 NAT  5001 )的数据包都可以到达 A  1000 

==========================================================

B  2000  —— >  NAT  5001  ——— >   A  1000 

B  3000  —— >  NAT  5001  ——— >   A  1000 

C  2000  —— >  NAT  5001   X  >   A  1000 

 

3) Full Cone NAT

任意地址发往 NAT  5001 )的数据包都可以到达 A  1000 

==========================================================

B  2000  —— >  NAT  5001  ——— >   A  1000 

B  3000  —— >  NAT  5001  ——— >   A  1000 

C  3000  —— >  NAT  5001  ——— >   A  1000 

 

2. Linux的NAT

Linux的NAT“MASQUERADE”属于对称形NAT。

 

说明这一点只需要否定 MASQUERADE 为锥形 NAT 即可。

 

Linux 在进行地址转换时,会遵循两个原则:

  1. 尽量不去修改源端口,也就是说,ip 伪装后的源端口尽可能保持不变。
  2. 更为重要的是,ip 伪装后必须 保证伪装后的源地址/ 端口与目标地址/ 端口(即所谓的socket )唯一。

假设如下的情况( 内网有主机 A  D ,公网有主机 B  C ):

先后 建立如下三条连接:

  1. A  1000  —— >  NAT  1000 )—— >  B  2000 
  2. D  1000  —— >  NAT  1000 )—— >  C  2000 
  3. A  1000  —— >  NAT  1001 )—— >  C  2000 

可以看到,前两条连接遵循了原则 1 ,并且不违背原则 2

而第三条连接为了避免与第二条产生相同的 socket 而改变了源端口

比较第一和第三条连接,同样来自 A(1000) 的数据包在经过 NAT 后源端口分别变为了 1000  1001。说明 Linux  NAT 是对称 NAT 

 

3. 对协议的支持

CONENAT 要求原始源地址端口相同的数据包经过地址转换后,新源地址和端口也相同,换句话说,原始源地址端口不同的数据包,转换后的源地址和端口也一定不同。

 

那么,是不是 Full Cone NAT 的可穿透性一定比 Symmetric NAT 要好呢,或者说,通过 Symmetric NAT 可以建立的连接,如果换成 Full Cone NAT 是不是也一定能成功呢?

 

假设如下的情况:

内网有主机A和D,公网有主机B和C,某 UDP 协议服务端口为 2000 ,并且要求客户端的源端口一定为 1000  

1)如果A使用该协议访问B:

A  1000  —— >  NAT  1000 )——— >  B  2000 

由于 Linux 有尽量不改变源端口的规则,因此在 1000 端口未被占用时,连接是可以正常建立的

如果此时D也需要访问B:

D  1000  —— >  NAT  1001 )—X— >   B  2000 

端口必须要改变了,否则将出现两个相同的 socket ,后续由 B(2000) 发往NAT( 1000 )的包将不知道是转发给A还是D。

 

于是B将因为客户端的源端口错误而拒绝连接。

 

在这种情况下, MASQUERADE  CONENAT 的表现相同。

 

2)如果A连接B后,D也像C发起连接,而在此之后,A又向C发起连接

              A  1000  —— >  NAT  1000 )——— >  B  2000 

如果是 MASQUERADE 

              D  1000  —— >  NAT  1000 )——— >  C  2000 

              A  1000  —— >  NAT  1001 )—X— >  C  2000 

如果是 CONENAT 

              D  1000  —— >   NAT  1001 )—X— >  C  2000 

              A  1000  —— >  NAT  1000 )——— >  C  2000 

对于 MASQUERADE 来说,只要在没有重复的 socket 的情况下,总是坚持尽量不改变源端口的原则,因此第二条连接仍然采用源端口 1000 ,而第三条连接为了避免重复的 socket 而改变了端口。

 

对于 CONENAT ,为了保证所有来自 A(1000) 的数据包均被转换为 NAT(1000) ,因此 D 在向 C 发起连接时,即使不会产生重复的 socket ,但因为 NAT  1000 端口已经被 A(1000) “占用”了,只好使用新的端口。

 

可以看出,不同的 target 产生不同的结果。我们也不能绝对的说,在任何时候,全锥形 NAT 的可穿透性都比对称 NAT 要好,比如上面的例子,如果只存在连接①和②,显然是对称形 NAT 要更适用。

 

因此,选择哪种 NAT ,除了对网络安全和普遍的可穿透性的考虑外,有时还需要根据具体应用来决定。

hy99998888
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SNAT与DNAT
侯海云
10-21 1145
目录 目录 环境搭建 拓扑 局域网主机 防火墙 互联网主机 SNAT策略 SNAT工作原理 配置SNAT 拨号SNAT策略 DNAT策略 DNAT工作原理 配置DNAT 转发REDIRECT 环境搭建拓扑局域网主机[root@LAN-host ~]# ifconfig eth1 # 查看IP eth1 Link encap:Ethernet HWaddr 00:0C
[NatType]路由器四种NAT(Full Cone NAT/Restricted Cone NAT/Port Restricted Cone NAT/Symmetric NAT)类型说明
wgl307293845的博客
09-24 5万+
NAT分类 一般NAT可以分为四种类型 1.全锥型NAT(Full Cone NAT) 2.受限锥型NAT(Restricted Cone NAT)或者说是IP受限锥型NAT 3.端口受限锥型NAT(Port Restricted Cone NAT)或者说是IP+PORT受限锥型NAT 4.对称型NAT(Symmetric NAT) 其中1、2、3属于同一种类型,都是锥型,区别是路由的不通安全策略 NAT的工作原理 NAT缓解了IPV4地址不够用的问题,同时也也带了限制,那就是...
FullCone-NATSymmetricCone-NAT与P2P下载
好记性不如烂笔头
11-05 1251
一个内部地址A:端口a映射到一个外部地址B:端口b后,所有发自该内部地址A:端口a的包都经由该外部地址B:端口b向外发送,某外部主机C能给该外部地址B:端口b发包到达该内部地址A:端口a的前提是:该内部地址A:端口a之前发送过包到该外部主机C(该外部主机C的端口不限)。一个内部地址A+端口a映射到一个外部地址B+端口b后,所有发自该内部地址A+端口a的包都经由该外部地址B+端口b向外发送,任意外部主机C都能给该外部地址B+端口b发包到达该内部地址A+端口a。一、Full cone NAT(完全锥形NAT
NAT的四种类型以及类型探测
ahty的专栏
03-14 1万+
NAT可以分为四种类型,分别是: 1, 全锥型(Full Cone) 2, 受限锥型(Restricted Cone), 或者说是IP受限锥型 3, 端口受限锥型(Port Restricted Cone), 或者说是IP + PORT受限锥型 4, 对称型(Symmetric)
NAT类型
u014002667的博客
12-29 479
NAT分为Symmetric NATCone NAT两种。 Symmetric NAT:每次都分配新的端口号,IP映射不变。 Cone NAT分为以下三种: (1)全圆锥( Full Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。任何一个外部主机均可通过该映射发送IP包到该内部主机。(类似于全双工模式) (2)限制性圆锥(Restricted
如何提升NAT类型,NAT提升至full_cone,设置光猫,
weixin_42168194的博客
05-10 4万+
Ⅰ.先直接使用光猫路由的WIFI网络。 获取的NAT类型是这样。 Ⅱ.接下来配置光猫,提升至fullcone类型,移动,电信光猫配置基本一样,这里以移动为例。 移动光猫超级管理员账号 1、 移动+光猫账号: CMCCAdmin 密码:aDm8H%MdA 2、 华+为的:telecomadmin 密码:admintelecom 3、 移动光纤宽带ip:192.168.100.1的超级账号:telecomadmin 密码:nE7jA%5m Ⅲ.192.168.1.1 进入光猫的超级...
NAT检测工具.zip
11-25
NAT类型通常分为四种:Full Cone NAT、Restricted Cone NAT、Port Restricted Cone NATSymmetric NAT。这些类型的NAT有不同的规则,对数据包的转发方式也不同,这直接影响到P2P网络的连通性和性能。 1. Full Cone...
NAT类型检测
08-16
NAT类型分为几种,包括开放NAT、端口限制NAT和完全限制NAT,每种类型对网络连接的影响不同,尤其是在多人在线游戏、远程桌面访问和VoIP等需要稳定、低延迟的网络应用中。 1. 开放NAT(Full Cone NAT): 这是最宽松...
NAT类型测试工具.zip
04-14
NAT类型通常分为三种:Full Cone NAT、Restricted Cone NAT和Port Restricted Cone NAT,每种类型的NAT对数据包的转发规则不同,这会影响到玩家在网络游戏中的连接质量和速度。 "NatTypeTester"是一款专门用于检测...
NAT测试工具NatTypeTester
03-08
4. **对称NAT (Symmetric NAT)**:这是最严格的NAT类型,每次内部设备向不同的公网IP和端口发送数据时,都会创建一个新的映射规则。这意味着即使公网IP和端口相同,只要源端口不同,都无法建立连接。 NatTypeTester...
nat测试工具
03-13
NAT类型通常分为几种,包括严格NATSymmetric NAT)、端口限制NAT(Port-restricted NAT)、锥形NATCone NAT)和全锥形NAT(Full Cone NAT)。不同类型的NAT会影响网络设备之间的通信方式,尤其是对于需要P2P(点...
Nat的类型——Cone NatSymmetic Nat
Thinking in code
05-10 7097
Nat共分为四种类型: 1.Full Cone Nat 2.Restriced Cone Nat 3.Port Restriced Cone Nat 4.Symmetric Nat Symmetric NatCone Nat的区别 1.三种Cone Nat同一主机,同一端口会被映射为相同的公网IP和端口 2.Symmetric Nat只有来自同一主机,同一端口发送
网络类型NAT3改NAT1 基于(联通)光猫桥接、路由器红米AX5、win10系统
热门推荐
TopTab的博客
02-08 6万+
粗略步骤 1、光猫改桥接 2、路由器设置拨号上网,填入账号密码,配置DMZ静态IP等 3、在win10验证NAT类型 前置准备 宽带的账号密码(这个打客服问,一般是默认密码) 默认密码123456,或者888888,或者是身份证号码后6位 第一步:(联通)光猫改桥接 方法一:光猫改桥接,直接联系宽带的客服,叫他帮你改 方法二:获得超级管理地址和超级权限密码,然后自己手动修改(作者TopTab采用) 1、电话联通客服,转人工,转宽带,告诉客服你需要桥接,然后,和技术人员交流后,获得光猫超级权限地址以及超级权限
NAT类型理解
passionkk的专栏
02-24 2838
参考: Web前端的WebRTC攻略:NAT穿越与ICE - 掘金 NAT的四种类型_eydwyz的专栏-CSDN博客_nat类型 假定: 内网clientA 192.168.0.100:800 与routeB 10.201.16.18:1000 建立映射关系 发送给公网服务器C的C1 C上有两个服务占用: C1--10.101.17.19:111 和 C210.101.17.19:222 1. 对称型 clientA与C1通信,routeB映射的是10.201.16.18:...
【笔记】openwrt - full cone NAT(全锥NAT)、解决“arp_cache: neighbor table overflow!”
LawssssCat的博客
01-25 4万+
最近安装了比特彗星(bitcomet)后,老是收到警告说日志的接收超过每秒上限了。一看日志,好家伙,一堆的日志,还是kernel的,还是info的?网上找问题原因、解决方法,最接近的就是lede的这个issue两个东西共同造成的在openwrt中打开了FullCone NAT(全锥NAT)在比特彗星(bitcomet)中默认设置了network.max_udp_pkt_per_sec(每秒最大udp数据包发送量)为1000但至于这些东西是什么?做什么的?什么意思?为啥这样这样就会有日志警告?
NAPT的类型(Cone NATSymmetric NAT
Rookie_Manito的博客
12-26 3万+
NAPT与NAT的区别在于,NAPT不仅转换IP包中的IP地址,还对IP包中TCP和UDP的Port进行转换。这使得多台私有网主机利用1个NAT公共IP就可以同时和公共网进行通信。(NAPT多了对TCP和UDP的端口号的转换) 一、带防火墙的NAT NAT一开始的功能只是一种映射,其功能是将内网IP、端口 映射到 公网 IP 端口;而防火墙的功能是过滤进出内网的数据,带防火墙功能的NAT,即带有过...
Nat的类型——Cone NatSymmetic Nat【转】
Uaena的博客
07-03 2012
(转自:https://blog.csdn.net/yifuteli_kevin/article/details/8911261) Nat共分为四种类型: 1.Full Cone Nat 2.Restriced Cone Nat 3.Port Restriced Cone Nat 4.Symmetric Nat Symmetric NatCone Nat的区别 1.三种Cone Nat同一主机,同一端口会被映射为相同的公网IP和端口 2.Symmetric Nat只有来自同一主机
培训课件 -从0到1搭建培训管理体系.pptx
最新发布
07-13
培训课件 -从0到1搭建培训管理体系.pptx
matlab中CONE函数
03-28
MATLAB中的CONE函数用于创建圆锥体对象。它需要两个参数:半径和高度。以下是一个简单的例子: ```matlab % 创建一个半径为2,高度为4的圆锥体对象 cone = cone(2, 4); ``` 可以使用MATLAB的图形工具箱中的函数来可视化圆锥体对象。例如,使用coneplot函数可以绘制从圆锥体表面流出的向量场。以下是一个例子: ```matlab % 创建一个半径为2,高度为4的圆锥体对象 cone = cone(2, 4); % 创建一个向量场 [X, Y, Z] = meshgrid(-3:0.5:3, -3:0.5:3, -3:0.5:3); U = X; V = Y; W = Z; % 绘制向量场 figure; coneplot(X, Y, Z, U, V, W, cone); axis equal; ``` 该代码将创建一个半径为2,高度为4的圆锥体对象,并使用coneplot函数绘制从圆锥体表面流出的向量场。图形将显示在一个新的窗口中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值