NAT 打洞

已于 2024-08-25 12:25:57 修改
阅读量769 收藏 6
点赞数 20
文章标签: 网络
于 2024-07-07 16:37:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33724710/article/details/140247689
版权

        由于 ipv4 地址数量的有限性,导致实际网络部署模式中存在大量的 NAT 网络。对于 NAT 内部的主机,可以主动发起去公网的流量,但对于位于不同 NAT 内的两台主机而言,想要直接进行点对点的连接,就需要用到打洞技术了。

常见的 NAT 类型

  1. 完全锥型(Full Cone NAT):在完全锥型NAT中,一个内部IP地址和端口的组合在转换为公共IP地址和端口后,可以与任何外部主机进行通信。同时,外部主机可以通过任何地址和端口向内部主机发送数据。这种类型的NAT不限制内部主机与外部主机的通信,因此具有最大的灵活性。

  2. 受限锥型(Restricted Cone NAT):在受限锥型NAT中,一个内部IP地址和端口的组合在转换为公共IP地址和端口后,只能与一个特定的外部主机进行通信。这个外部主机是在内部主机首次向其发送数据时确定的,之后只有来自这个外部主机的数据才会被NAT转发给内部主机。其他外部主机无法与内部主机直接通信。

  3. 端口受限锥型(Port Restricted Cone NAT):与受限锥型类似,但还限制了端口号。

  4. 对称型(Symmetric NAT):在对称型NAT中,一个内部IP地址和端口的组合在转换为公共IP地址和端口后,只能与一个特定的外部主机进行通信。与受限锥型NAT不同的是,这个特定的外部主机是根据内部主机与外部主机之间的通信请求动态选择的,每次与不同外部主机通信时,NAT都会分配一个新的公共IP地址和端口。

对称NAT是一个请求对应一个端口,非对称NAT是多个请求对应一个端口,所以像锥型。

STUN

STUN(Session Traversal Utilities for NAT)是一种基于网络协议的技术,用于解决网络中的NAT(Network Address Translation)问题。STUN协议允许设备在NAT后面找到可用的公共IP地址和端口,以建立点对点连接。它通过一个称为STUN服务器的中间节点来实现。设备首先向STUN服务器发送请求,服务器会在响应中返回设备的公共IP地址和端口。设备可以将这些信息用于直接通信,而无需通过NAT。

STUN协议可以用于多种应用场景,例如实时通信(如VoIP电话、视频聊天)和P2P文件共享等。它为设备提供了一种机制,可以绕过NAT并建立直接的点对点连接,从而提高通信的效率和质量。

STUN 打洞流程

参考官方文档可以很清楚的看懂整个打洞的流程:

RFC 3489 - STUN - Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs)):

                        +--------+
                        |  Test  |
                        |   I    |
                        +--------+
                             |
                             |
                             V
                            /\              /\
                         N /  \ Y          /  \ Y             +--------+
          UDP     <-------/Resp\--------->/ IP \------------->|  Test  |
          Blocked         \ ?  /          \Same/              |   II   |
                           \  /            \? /               +--------+
                            \/              \/                    |
                                             | N                  |
                                             |                    V
                                             V                    /\
                                         +--------+  Sym.      N /  \
                                         |  Test  |  UDP    <---/Resp\
                                         |   II   |  Firewall   \ ?  /
                                         +--------+              \  /
                                             |                    \/
                                             V                     |Y
                  /\                         /\                    |
   Symmetric  N  /  \       +--------+   N  /  \                   V
      NAT  <--- / IP \<-----|  Test  |<--- /Resp\               Open
                \Same/      |   I    |     \ ?  /               Internet
                 \? /       +--------+      \  /
                  \/                         \/
                  |                           |Y
                  |                           |
                  |                           V
                  |                           Full
                  |                           Cone
                  V              /\
              +--------+        /  \ Y
              |  Test  |------>/Resp\---->Restricted
              |   III  |       \ ?  /
              +--------+        \  /
                                 \/
                                  |N
                                  |       Port
                                  +------>Restricted

                 Figure 2: Flow for type discovery process

该流程使用了三个测试:

  1. 测试 I,客户端向服务器发送STUN绑定请求,不在CHANGE-Request属性中设置任何标志,也不设置RESPONSE-ADDRESS属性。服务器响应的源地址和端口与客户端请求的目的是一样的。
  2. 测试 II,客户端发送一个绑定请求,其中包含change-Request属性集中的“更改IP”和“更改端口”标志。服务器响应的原地址和端口都将改变。
  3. 测试 III,客户端发送仅设置了“更改端口”标志的绑定请求。服务器响应的源地址与客户端请求的目的地址一样,但源端口发生改变。

        第一步:客户端首先启动测试 I,如果此测试没有响应,则客户端立即知道它无法进行 UDP 连接。如果测试产生响应,客户端将检查MAPPED-ADDRESS属性:如果此地址和端口与用于发送请求的套接字的本地IP地址和端口相同,则客户端知道它不在 NAT后,如果不同,则在 NAT后面。

        第二步:接着执行测试 II,如果收到响应,客户端就知道它是全锥型 NAT 或者位于公网(无需第三步了)。第一步中如果判断是在公网,第二步失败则说明有防火墙限制;第一步如果判断在 NAT 后,第二步失败则说明在某种限制锥型或者对称 NAT 后面。

        第三步:第一步判断在NAT后,第二步没有收到响应,它会再次执行测试 I,但这次是对测试 I 的响应中 CHANGED-address 属性的地址和端口执行测试 I(即换了测试 I 的目的地址和端口号)。如果 MAPPED-address 属性中返回的地址和端口与第一个测试 I 中的不同,则客户端知道其位于对称 NAT 之后(无需第四步了)。如果地址和端口相同,则客户端位于受限 NAT 或端口受限NAT之后。

        第四步:为了确定在哪个中受限 NAT 后面,客户端启动测试 III。如果收到响应,则它在受限NAT 后面,如果没有收到响应,它在端口受限 NAT 后面。

打洞客户端:GitHub - ccding/go-stun: A go implementation of the STUN client (RFC 3489 and RFC 5389)

公用stun服务器:公用 Stun 服务器列表 - FreeSWITCH-CN中文社区

Fireplusplus
关注
NAT技术总结
weixin_54543120的博客
09-01 1868
1. 两种类型: app-layer:ALG transport layer/ IP layer:packet filtering 2. pkt过滤方式(layer3/4):内部网通过路由器防火墙(router firewall)与外界连接,路由器过滤经过的每一个包,检查:srcIP,dstIP;port num;ICMP msg 种类;TCP的SYN 位和ACK 位;以及ip的protocol&n
NAT的完全分析及其UDP穿透的完全解决方案
热门推荐
陈敏的博客
05-08 4万+
NAT的完全分析及其UDP穿透的完全解决方案 一:基本术语防火墙防火墙限制了私网与公网的通信,它主要是将(防火墙)认为未经授权的的包丢弃,防火墙只是检验包的数据,并不修改数据包中的IP地址和TCP/UDP端口信息。网络地址转换(NAT)当有数据包通过时,网络地址转换器不仅检查包的信息,还要将包头中的IP地址和端口信息进行修改。以使得处于NAT之后的机器共享几个仅有的公网
UDP NAT打洞初解
天使之城
12-19 540
<br />UDP  NAT打洞即为P2P做准备!<br />总所周知,2个内网IP,无法直接通讯,如果需要连接,即需要一台公网IP的服务器作中转,如果所有的数据都通过服务器中转,那么服务器的压力相当大了,因此需要使用P2P技术来减少数据通讯量。<br /> <br />首先看一个模型,Client 10.0.0.2:4000,NAT 201.0.0.2:60000,Server 200.0.0.2:80<br /> <br />这样C/S的通讯方式如下:<br /> <br />Client       
P2P穿透&四种NAT类型
yuanchunsi的博客
11-22 1万+
Net 类型
对比Cone NAT 和 Symmetric NAT,说明STUN为何不适用于对称型NAT的穿透
Rookie_Manito的博客
12-26 5995
在《NAT No【NAT原理和类型】》和《STUN》中已经介绍了NAT的分类(锥型、圆锥型)和STUN Server检测的机制,这对于理解STUN为什么解决不了symmetric NAT很重要 NAT的类型是由路由器的处理决定的,路由器将来自LAN口(局域网)的设备(IP:Port)在和WAN口环境(公网)上存在的设备(IP:Port)进行通信时,会生成映射即NAT(Network Address...
半途而废的nat穿透(打洞)实验
清风的博客
05-12 1343
先配置路由协议 R1 R1#config R1(config)#int e1/0 R1(config-if)#ip add 40.40.40.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#int e1/1 R1(config-if)#ip add 50.50.50.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#int e1/2 R1(c.
【计算机网络】15、NAT、NAPT 网络地址转换、打洞
呆呆的猫的博客
12-02 2283
NAT、NAPT 网络地址转换、打洞、frp 内网穿透
P2P之UDP穿透NAT原理
05-01 2752
首先先介绍一些基本概念:    NAT(Network Address Translators),网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用。NAT分为两大类,基本的NAT和NAPT(Network Address/Port Translator)。    最开始NAT是运行在路由器上的一个功能模块。    最先提出的是基本的NAT,它的产生基于
Netfilter学习之NAT类型动态配置(五)全锥型、限制型锥形、端口限制型锥型、对称型NAT实现思路
ty的博客
04-14 3万+
  本节中,我们根据上节的分析,从理论上分析不同NAT实现思路。对NAT不了解的可以看Netfilter学习之NAT类型动态配置(二)。 1. 端口限制型NAT   Port Restricted NAT是Netfilter中自带的NAT转化规则,即MASQUERADE。此种情况下,需要检测外部tuple和目标tuple四个变量,均相同才可以成功访问内部tuple。 2. 限制型N...
UDP_MakeHole.rar_NAT 打洞_NAT 打洞udp_udp 打洞_udp打洞_透传
09-22
udp 穿透, 传透NAT打洞。不仅有文档的介绍,将原理介绍清楚,而且有可以直接运行的源码。学习udp打洞的好资料。
NAT打洞穿越
10-22
实现两台NAT内主机之间的通信,基于UDP传输协议,VC写的
C# udp NAT打洞客户端1/2,可以实现不能局域网的通信,亲测
09-21
C# udp NAT打洞客户端,可以实现不能局域网的通信,亲测,测试请需要设置一个IP地址,这个IP地址为外网的IP地址,如果没有外网的IP地址,请通过路由器设置DMZ主机地址,也可以实现外网的功能,UDP NAT的原理可以在我...
C#实现UDP NAT打洞技术详解
在讨论的上下文中,UDP协议因其无连接特性,在NAT打洞中得到了广泛应用。资源中可能包含了关于UDP NAT穿透的理论知识,以及如何在C#中实现这一过程的源码。" 知识点: 1. NAT网络地址转换): - NAT 是一种网络...
nat打洞 c语言 实现
09-19
在C语言中,"nat打洞"通常指的是网络地址转换(Network Address Translation,简称NAT)过程中的端口映射技术。NAT是路由器或防火墙的一种常见功能,用于在一个私有IP地址空间内提供对外部网络的访问,隐藏内部网络...
NAT穿透
NUS Coders
01-19 930
今天来记录一下Network Address Translation / 网络地址转换有关的知识点。
nat端口限制_网络工程师从入门到精通通俗易懂系列 | 网络地址转换NAT技术,每天都在用,真正懂的人有多少?...
weixin_39837352的博客
12-05 831
NAT技术使得一个私有IP地址网络可以通过合法的公网IP连接到公网,同时将内部网络的IP地址隐藏起来不被外界发现,对内部网络设备起到保护的作用,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有IP地址和私有IP地址的使用NAT优缺点NAT术语NAT转换规则·数据包从outside接口到inside接口,先转换后查路由·数据包从inside接口到outside接口,先查路由...
WebRTC网络基础 九、第二节 NAT打洞原理
xyphf的博客
07-12 1836
今天我们来看一下NAT穿越的原理 NAT一共有四种类型,分别是完全锥型NAT (Full Cone NAT)、地址限制锥型NAT(Address Restricted Cone NAT)、端口限制锥型NAT (Port Restricted Cone NAT)、对称型NAT (Symmetric NAT),对NAT穿越来说,其实每一种穿越都不一样,下面我就来看一下每一种不同类型,如何进行NAT穿越。 完全锥型NAT 完全锥型是非常简单的 ,左边是内网的主机,它有自己的内网IP地址和端口 ,通过防.
NAT穿透的详解及分析(NAT类型举例解释及穿透技术)
G_BrightBoy的专栏
10-14 1万+
看完就懂了,详细易懂 一、什么是NAT?为什么要使用NATNAT是将私有地址转换为合法IP地址的技术,通俗的讲就是将内网与内网通信时怎么将内网私有IP地址转换为可在网络中传播的合法IP地址。NAT的出现完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。  二、NAT的分类 STUN标准中,根据内部终端的地址(LocalIP:LocalP
嵌入式学习-网络高级-Day01
最新发布
Xiaomo1536的博客
11-06 1084
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fireplusplus

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值