NAT Type 及STUN

最新推荐文章于 2024-09-13 21:34:52 发布
最新推荐文章于 2024-09-13 21:34:52 发布
阅读量8.1k 收藏 4
点赞数 1
分类专栏: Layer 3 & 4 文章标签: server session translation network table application
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nunogomes18/article/details/2200596
版权

  今天整理下NAT的类型,我想要更好的理解NAT的不同类型的不同表现,可以借助学习STUN协议的测试流程,通过STUN的判断标准,进一步了解不同NAT的表现,希望带着下面一个问题来进行学习, 为什么stun只能不能解决对称的nat类型呢.?

 

 

一, NAT 的具体流程,

 

  请看下图,   图示为LAN端一PC和WAN端两Server, 中间为NAT的Soho Router,

 1, Client A 使用10.0.0.1:1234 需要和Server 1的18.181.0.31:1235 建立session, 假设建立UDP Session,则UDP pckets经过Router时, NAT会将该UDP包中的Sourec IP和Source Port进行修改, Source IP = Router's WAN IP, Source Port=WAN PORT = 62000(一般为者随机端口), 并重新计算crc将包发给S1;

 2, 在NAT将包重组,并发送出去的同时, 创建并维护了一张NAT Address Port Table表. 

Client Source IP:Client Sourece Port -- Wan IP:Wan port -- DesIP:DesPort(Server IP:ServerPort)

 3, Server 1收到该UDP Packets后,并进行回复. 回复的UDP包的SIP:SPORT=18.181.0.31:1235, DIP:DPORT=Router's WAN IP: WAN port=155.99.25.11:62000;

 4, 当NAT Router收到该UDP数据包后, 会根据step 2中创建的NAT Table中的表项进行查找, 根据该包中的Desport:DesPort 和Source IP:Sport找到对应的Client IP:Port,  并修改该Packets的DIP:Dport为ClientIP:Port,并发送该Client A; 最终完成整个NAT UDP的流程.

 

Cone nat

 

 

 

 

 

二, NAT 的类型;

 

1, NAT Type

NAT 从实现分为Cone NAT和Symmtric NAT两类。 最主要区别在于内网的某个Client使用相同的(Source IP+Source Port)组合访问不同的外网Server时,在NAT在出口方向上的打洞方式(Cone和Symmtric 映射表现的方式)以及入口方向上的源IP及源Port的条件限制检测(Cone内部3中不同的NAT方式对入口报文有不同的来源限制)。

 

 若上图所示的Client A使用同样的Source Port要和Server 2建立UDP session, 则不同的NAT type的行为将会不一样.

1.1, Cone NAT:  若相同的Client Source IP: Source Port在NAT Router上创建一个相同对应关系的WANIP:WAN Port. 为Cone NAT. 如上图所示, Session 2使用的Wan Source Port 仍为62000;

 

1.2, Symmtric NAT: 若相同的Client Source IP: Source Port在NAT Router上创建不同对应关系的WANIP:WAN Port. 为Symmtric NAT; 若上图中, Session 2使用的Wan Source Port为62001;  相比Cone NAT, Symmtric的限制更严格, 更安全;

 

2, Detail Information of Cone NAT

Cone  NAT,即锥行NAT,  从抽象上来理解为, NAT 使用一个洞,同WAN端很多台Server进行通信, 如下图所示,(前提条件为Client IP:Source Port 相同).但是根据NAT Router对WAN端入包的判断严格程度不同, Cone NAT又可分为以下3中types:

根据本人理解:  

Full Cone NAT: 在NAT Router Wan端收到数据包,并根据NAT Table找到相应的Client后,直接修改并发送; 不关心Source IP:Port.

Restricted Cone NAT: 在Full Cone的基础上,增加了对Source IP的判断, 若该Source IP并不是之前记录的DIP(Server IP), 则Drop掉;

Port Restricted NAT: 在Restricted Cone的基层上又增加了对Source Port的检测, 若该SourceIP:Source Port != 之前记录的DIP:DPort(ServerIP:Server:Port),则Drop掉. 

 

 

 

2.1 Full cone nat

  Once an internal address (iAddr:port1) is mapped to an external address (eAddr:port2), any packets from iAddr:port1 will be sent through eAddr:port2. Any external host can send packets to iAddr:port1 by sending packets to eAddr:port2.

 

2.2 Restricted nat

 §Once an internal address (iAddr:port1) is mapped to an external address (eAddr:port2), any packets from iAddr:port1 will be sent through eAddr:port2. An external host (hostAddr:any) can send packets to iAddr:port1 by sending packets to eAddr:port2 only if iAddr:port1 had previously sent a packet to hostAddr:any. "any" means the port number doesn't matter.

2.3 Port Restricted nat 

§ Like a restricted cone NAT , but the restriction includes port numbers.
§ Once an internal address (iAddr:port1) is mapped to an external address (eAddr:port2), any packets from iAddr:port1 will be sent through eAddr:port2. An external host (hostAddr:port3) can send packets to iAddr:port1 by sending packets to eAddr:port2 only if iAddr:port1 had previously sent a packet to hostAddr:port3.
 

3, Detail Information Of Symmetric NAT  

§ Each request from the same internal IP address and port to a specific destination IP address and port is mapped to a unique external source IP address and port.
If the same internal host sends a packet even with the same source address and port but to a different destination, a different mapping is used.
§ Only an external host that receives a packet from an internal host can send a packet back.

 

 

 三, STUN 及测试流程, 

STUN即简单nat 穿越协议. 可以检测设备当前NAT Router的类型,以及该NAT Map的ip和port以供应用程序使用. 下面就来说说stun是如何测试的.  简单来说,就是修改stun server的ip和port给wan口进行发包,并根据lan client收到包的个数和其中的map address的内容来判断nat的类型.  

首先,请看下图

  Test1,  c1给s1发送一个包, 同时这个s1给c1回复,并带有map address(i1) 的ip 和port(p1);

  Test2,   s2给c1发包,其目的地址为i1:p1, 若c1能收到,则为full cone;收不到则为restriected ;

  Test3,   c1给s2发包, 并收到s2给c1的回复, 类似于test1, 带有map address(i2)的ip和port (p2), 若P2!=P1,则表示c1给s2发送时有重新打了个洞, 则为Symmetric NAT,

  Test4.  s1更换源端口给c1(i1:p1)发包,若c1不能接收到的话则为port restricted;

最后附上一个流程图.

 

四, 参考资料,
RFC1631.The IP Network Address Translator (NAT)
RFC2663.IP Network Address Translator (NAT) Terminology and Considerations
RFC3235.Network Address Translator (NAT)-Friendly Application
RFC4787.Network Address Translation (NAT) Behavioral Requirem

若各位有什么问题,可以留言.
nunogomes18
关注
专栏目录
NAT测试工具NatTypeTester
03-08
NAT测试工具NatTypeTester
NatTypeTester:测试当前网络的NAT类型(STUN
04-02
NatTypeTester RFC支持 互联网协议 IPv4 IPv6 传输协议 UDP协议 TCP协议 TCP上的TLS UDP上的DTLS 预览 STUN服务器 码头工人 docker pull hmbsbige/stunserver docker run -d --restart=always --net=host --name=stunserver hmbsbige/stunserver --mode full --primaryinterface $IP1 --altinterface $IP2
NatTypeTester 安装和配置指南
最新发布
gitblog_09579的博客
09-13 876
NatTypeTester 安装和配置指南 项目地址:https://gitcode.com/gh_mirrors/na/NatTypeTester 1. 项目基础介绍和主要编程语言 项目介绍 NatTypeTester 是一个用于测试当前网络 NAT 类型的开源工具。它通过 STUNSession Traversal Utilities for NAT)协议来检测网络的 NAT 类型,帮助用户...
stun/turn 客户端测试
05-11
测试coturn服务器是否配置完成的c#客户端, c#语音,编译好的应用程序,非源码 返回的内容为本客户端打通路由器的IP地址和udp端口
[NatType]路由器四种NAT(Full Cone NAT/Restricted Cone NAT/Port Restricted Cone NAT/Symmetric NAT)类型说明
热门推荐
wgl307293845的博客
09-24 6万+
NAT分类 一般NAT可以分为四种类型 1.全锥型NAT(Full Cone NAT) 2.受限锥型NAT(Restricted Cone NAT)或者说是IP受限锥型NAT 3.端口受限锥型NAT(Port Restricted Cone NAT)或者说是IP+PORT受限锥型NAT 4.对称型NAT(Symmetric NAT) 其中1、2、3属于同一种类型,都是锥型,区别是路由的不通安全策略 NAT的工作原理 NAT缓解了IPV4地址不够用的问题,同时也也带了限制,那就是...
Types of NAT and How to determine the NAT TypeNAT的类型和如何确定NAT类型)
汤姆lazy的CSDN博客
11-10 756
  我将做几篇关于NAT(网络地址转换)的文章,讨论它们的分类以及如何在Linux机器上创建一个NAT。这篇文章将介绍NAT的类型。   一般来说,NAT是用来允许私人IP与互联网对话的。它也有一定的安全性,因为外人不能直接访问NAT内的机器(好吧,至少不容易) 一般来说,有4种NAT。让我们逐一了解它们。 全锥式NAT(Full cone NAT):这也被称为一对一NAT。它基本上是简单的端口转发,其中有一个从客户ip:port到NAT的ip:port的静态绑定,任何来自互联网的人都可以写到NAT的i
chatgpt赋能Python-python_nattype
axuhsssssco的博客
05-24 170
在计算机网络中,NAT是一种方法,用于将一个Internet Protocol(IP)地址转换为另一个。NAT通常用于在本地网络和互联网之间提供连接。它允许多个本地设备使用单个公共IP地址访问互联网。但是,NAT也引入了一些问题,如IP地址伪造、端口转发和双向通信等问题。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT。
【SDX12】高通SDX12 NatType功能分析及实现
wgl307293845的博客
09-26 572
高通NATTYPE实现分析
pystun:一个用于获取NAT类型和外部IP的Python STUN客户端
04-13
皮斯通一个用于获取NAT类型和外部IP的Python STUN客户端这是最初由gaohawk( )创建的pystun的分支。 PyStun遵循RFC 3489: ://www.ietf.org/rfc/rfc3489.txt 在互联网上找不到遵循STUN-bis的服务器,因此RFC3489是...
NatTypeTest工具,NAT类型测试小工具
04-03
**NAT类型测试工具——NatTypeTest** 在互联网通信中,NATNetwork Address Translation,网络地址转换)是一种网络技术,用于将私有IP地址转换为公共IP地址,以解决IPv4地址短缺的问题。NAT类型是描述网络连接中...
go-stun:STUN客户端的go实现(RFC 3489和RFC 5389)
04-30
眩晕 go-stun是golang(aka...NAT Type: Full cone NAT External IP Family: 1 External IP: 166.111.4.100 External Port: 23009 您可以使用-s标志使用另一个STUN服务器,并使用-v在详细模式下工作。 > ./go-stun --
NatTypeTester.zip
08-15
一个检测工具。不需要安装。直接双击使用。检测当前网络是什么类型的NAT类型。简单方便好用。
NatTypeTester
03-01
用以检测网络的NAT类型的工具。使用方法很简单,解压之后运行NatTypeTester.exe ,点击get,会给出当前网络的NAT类型。
NAT路由类型检测工具(NatTypeTester)
03-21
这是一个测试NAT类型的小工具,一般也没太多用处,只有游戏玩家可能需要用来测试你的网络NAT类型是什么。NAT类型一般分为以下4种: 1. Full Cone NAT (完全圆锥型) 2. Restricted Cone NAT (地址限制圆锥型) 3. Port Restricted Cone NAT (端口限制圆锥型) 4. Symmetric NAT (对称型) NAT 类型测试工具 一般来说,第一种Full Cone NAT是用光猫直接拨号测试出来的类型,这时候用PSV等联机没什么问题。用路由器拨号可能会显示第三种Port Restricted Cone NAT,这个需要自己测试一下。
NAT类型测试工具-NatTypeTester
11-17
NAT类型测试工具-NatTypeTester,测试自己的nattype
CPE上的STUN和TR069功能详解和实验
weixin_45625596的博客
05-21 3806
TR069和STUN
标准STUN判断NAT类型的过程及改进
tq08g2z的专栏
08-17 2079
这里基于stund的实现,来研究标准STUN协议,判断NatType的过程。 stund用于判断NatType的接口的用法 首先来看stund中用于判断NatType的接口的用法。这里主要来看stund中的STUN客户端client.cxx的实现。client.cxx是一个常规的C/C++ app,这个app的主要code如下: void usage() { cerr << "Usage:
什么是NATNAT有哪几种?和端口映射有什么区别?
a1809032425的博客
03-15 9121
什么是NATNAT有哪几种?和端口映射有什么区别? 参考链接:https://blog.csdn.net/csdn10086110/article/details/100895703 私有地址: 10.0.0.0-10.255.255.255; 172.16.0.0-172.31.255.255; 192.168.0.0-192.168.255.255。 NAT的简单示意图 静态NAT 如果一个内部主机唯一占用一个公网IP,这种方式被称为一对一模型。此种方式下,转换上层协议就是不必要的,因为
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值