linux期末复习

理解题:

Ip协议

①IP协议是一种无连接、不可靠的分组传送服务的协议。
②IP协议是点-点线路的网络层通信协议。：IP协议是针对原主机-路由器、路由器-路由器、路由器-目的主机之间的数据传输的点-点线路的网络层通信协议。
③IP协议屏蔽了网络在数据链路层、物理层协议与实现技术上的差异。：通过IP协议，网络层向传输层提供的是统一的IP分组，传输层不需要考虑互联网在数据链路层、物理层协议与实现技术上的差异，IP协议使得异构网络的互联变得容易了。

单工通信、半双工通信（举例子：对讲机）、全双工通信

单工通信

概念：只能从一边到另一边的通信，一边是发送端，另一边是接收端，不可逆，通道是单向的    eg：广播站 、无线电站等

半双工通信

概念：可以双向通信，但是同一时间，只能一边向另一边通信。即同一时间，只能单向通信；通过不同时间，来实现双向通信。发送端可以变接收端，接收端可以变发送端。

eg： 对讲机（可以实现不同时间以双向通话，但同一时间，只能一个人在说话）

全双工通信

概念：任意时刻，都能够两边同时通信，可以同时接收或者发送数据。

eg：电话、现代计算机网络

get和post

GET 和 POST 其实都是 HTTP 的请求方法

GET： 请求指定的页面信息，并返回实体主体。

POST： 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。

安全性

与 POST 相比，GET 的安全性较差，因为所发送的数据是 URL 的一部分。在发送密码或其他敏感信息时绝不要使用 GET ！ POST 比 GET 更安全，因为参数不会被保存在浏览器历史或 web 服务器日志中。

GET编码类型application/x-www-form-url、POST编码类型常见encodedapplication/x-www-form-urlencoded或multipart/form-data。

GET对数据长度有限制（url限制2048个字符）、POST无限制

http和https

http协议：

超文本传输协议，是一个基于请求与响应，无状态的，应用层的协议，常基于TCP/IP协议传输数据，互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法。

https协议：

HTTPS是身披SSL外壳的HTTP。HTTPS是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道，加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。

http与https对比：

HTTP特点：

无状态：协议对客户端没有状态存储，对事物处理没有“记忆”能力，比如访问一个网站需要反复进行登录操作

无连接：HTTP/1.1之前，由于无状态特点，每次请求需要通过TCP三次握手四次挥手，和服务器重新建立连接。比如某个客户机在短时间多次请求同一个资源，服务器并不能区别是否已经响应过用户的请求，所以每次需要重新响应请求，需要耗费不必要的时间和流量。

基于请求和响应：基本的特性，由客户端发起请求，服务端响应简单快速、灵活

通信使用明文、请求和响应不会对通信方进行确认、无法保护数据的完整性

https特点：

基于HTTP协议，通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护

通过抓包可以看到数据不是明文传输，而且HTTPS有如下特点：

内容加密：采用混合加密技术，中间者无法直接查看明文内容

验证身份：通过证书认证客户端访问的是自己的服务器

保护数据完整性：防止传输的内容被中间人冒充或者篡改

区别

HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全，为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。简单来说，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

HTTPS和HTTP的区别主要如下：

1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

TTL：

TTL是指生存时间，简单来说，它表示了数据包在网络中的时间。每经过一个路由器后TTL就减一,这样TTL最终会减为0，当TTL为0时,则将数据包丢弃。通过设置TTL可以避免这两个路由器之间形成环导致数据包在环路上死转的情况，由于有了TTL,当TTL为0时，数据包就会被抛弃。

应用题

ls — List

ls会列举出当前工作目录的内容（文件或文件夹）。

mkdir

mkdir 用于新建一个新目录

pwd

显示当前工作目录

cd

切换文件路径，cd 将给定的文件夹（或目录）设置成当前工作目录。

rmdir

删除给定的目录。

rm

rm 会删除给定的文件

cp

cp 命令对文件进行复制

mv

mv 命令对文件或文件夹进行移动，如果文件或文件夹存在于当前工作目录，还可以对文件或文件夹进行重命名。

cat

cat 用于在标准输出（监控器或屏幕）上查看文件内容

tail

ail 默认在标准输出上显示给定文件的最后10行内容，可以使用tail -n N 指定在标准输出上显示文件的最后N行内容。

grep

grep 在给定的文件中搜寻指定的字符串。grep -i “” 在搜寻时会忽略字符串的大小写，而gre -r “” 则会在当前工作目录的文件中递归搜寻指定的字符串。

find

这个命令会在给定位置搜寻与条件匹配的文件。你可以使用find -name 的-name选项来进行区分大小写的搜寻，find -iname 来进行不区分大小写的搜寻。

help

help会在终端列出所有可用的命令,可以使用任何命令的-h或-help选项来查看该命令的具体用法。

whatis

whatis 会用单行来描述给定的命令，就是解释当前命令。

exit

exit用于结束当前的终端会话。

ping

ping 通过发送数据包ping远程主机(服务器)，常用与检测网络连接和服务器状态。

who

who能列出当前登录的用户名，当前用户列表

su

su 用于切换不同的用户。即使没有使用密码，超级用户也能切换到其它用户。

chmod

用于改变 linux 系统文件或目录的访问权限。

shutdown

shutdown用于关闭计算机，而shutdown -r用于重启计算机。

Ifconfig

查询网络卡与 IP 网域**等相关参数；

Ip

复合式的指令， 可以直接修改路由表 (route table)

Route

查询
设定路由表 (route table)

Netstat

得知整个 Linux 系统的网络情况，可以用于查看当前计算机开放的端口，从而判断当前计算机启动了哪些服务

IP地址（分类，怎么算）(27条消息) 【TCP/IP】IP地址的划分及其分类_零一的博客-CSDN博客_tcp地址和ip地址

(上面网址有具体的东西)

IP作用于OSI参考模型中的网络层，在终端通信中作为唯一标识，便于确定数据的传递目标 IP地址就是一个唯一标识，是一段网络编码（二进制），32位数

IP地址分为：IPv4 、IPv6

IPv4其是用点分四组十进制的表示方法展示的每一组的数字都是非负的整数，范围在 [0, 255] 之间IPv4是32位的。有2^{32}种可能的地址

分类：

A类： 网络号共8位，首位固定为 0，接下来连续的7位可以自由设定；主机号为24位

B类： 网络号共16位，前两位固定为 1 0，接下来连续的14位可以自由设定；主机号为16位

C类： 网络号共24位，前三位固定为 1 1 0，接下来连续的21位可以自由设定；主机号为8位

D类： 为组播地址，共32位，前四位固定为 1 1 1 0

E类： 为保留地址，共32位，前四位固定为 1 1 1 1

一个请求包：

●GET:当客户端要从服务器中读取某个资源时，使用GET方法。GET 方法要求服务器将URL定位的资源放在响应报文的部分，回送给客户端，即向服务器请求某个资源。使用GET方法时,请求参数和对应的值附加在URL后面，利用一个问号(“?”)代表URL的结尾与请求参数的开始，传递参数长度受限制。例如，127.0.0.1/index.jsp?id=100&op=bind。

●POST:当客户端给服务器提供信息较多时可以使用POST方法，POST方法向服务器提交数据，比如完成表单数据的提交，将数据提交给服务器处理。GET一般用于获取/查询资源信息，POST会附带用户数据，一般用于更新资源信息。POST方法将请求参数封装在HTTP请求数据中，以名称/值的形式出现，可以传输大量数据;

漏洞的简单认识：

SQL注入

SQL注入漏洞概述：对于客户端提交的数据，程序员在编写web程序时未对提交的参数进行严格的过滤或转义直接带入数据库就造成了用户可以构造参数，提交SQL查询语句，从而获得敏感信息或执行危险代码，这就是SQL注入攻击原理。

XSS攻击

XSS攻击概述：XXS（cross site script）为了避免与样式css混淆所以叫做XSS，是针对客户端的攻击不是服务端 。XSS的本质是恶意代码未经过滤，与网站正常代码混在一起，浏览器无法分辨哪些脚本是可信的，导致攻击者输入的恶意脚本被执行。从源头上讲，就是代码和数据被攻击混淆，导致浏览器将攻击者输入的数据解释为代码并执行从而达到攻击者的目的。

文件上传

文件上传漏洞概述：文件上传本身没有问题，而且文件上传功能也是普遍存在的。但是由于程序员在编写web应用的时候没有限制用户上传的文件类型及内容，导致上传了一个错误程序文件（里面是一些可执行代码）但是没有被检测到，从而顺利将木马上传到服务端，导致非法用户获得webshell，执行一些非法操作（如：获取web应用数据，删除web文件，本地提权…），这种操作称之为文件上传漏洞。

文件包含

文件包含漏洞概述：其实文件包含就和编程中调用函数一样，只不过把函数换成了一个个的文件，可以通过包含操作来加载一些本地或远程上的文件，由于这个操作可以由用户提交的数据控制，从而导致攻击者控制恶意文件在服务器上执行，得到shell执行一些非法操作。

通信协议三次握手和四次挥手：

1.”三次握手”的详解

所谓的三次握手即TCP连接的建立。这个连接必须是一方主动打开，另一方被动打开的。以下为客户端主动发起连接的图解：

握手之前主动打开连接的客户端结束CLOSED阶段，被动打开的服务器端也结束CLOSED阶段，并进入LISTEN阶段。随后开始“三次握手”：

（1）首先客户端向服务器端发送一段TCP报文，其中：

标记位为SYN，表示“请求建立新连接”;序号为Seq=X（X一般为1）；随后客户端进入SYN-SENT阶段。（2）服务器端接收到来自客户端的TCP报文之后，结束LISTEN阶段。并返回一段TCP报文，其中：

标志位为SYN和ACK，表示“确认客户端的报文Seq序号有效，服务器能正常接收客户端发送的数据，并同意创建新连接”（即告诉客户端，服务器收到了你的数据）；序号为Seq=y；确认号为Ack=x+1，表示收到客户端的序号Seq并将其值加1作为自己确认号Ack的值；随后服务器端进入SYN-RCVD阶段。（3）客户端接收到来自服务器端的确认收到数据的TCP报文之后，明确了从客户端到服务器的数据传输是正常的，结束SYN-SENT阶段。并返回最后一段TCP报文。其中：

标志位为ACK，表示“确认收到服务器端同意连接的信号”（即告诉服务器，我知道你收到我发的数据了）；序号为Seq=x+1，表示收到服务器端的确认号Ack，并将其值作为自己的序号值；确认号为Ack=y+1，表示收到服务器端序号Seq，并将其值加1作为自己的确认号Ack的值；随后客户端进入ESTABLISHED阶段。服务器收到来自客户端的“确认收到服务器数据”的TCP报文之后，明确了从服务器到客户端的数据传输是正常的。结束SYN-SENT阶段，进入ESTABLISHED阶段。

在客户端与服务器端传输的TCP报文中，双方的确认号Ack和序号Seq的值，都是在彼此Ack和Seq值的基础上进行计算的，这样做保证了TCP报文传输的连贯性。一旦出现某一方发出的TCP报文丢失，便无法继续"握手"，以此确保了"三次握手"的顺利完成。

此后客户端和服务器端进行正常的数据传输。这就是“三次握手”的过程。

所谓的四次挥手即TCP连接的释放(解除)。连接的释放必须是一方主动释放，另一方被动释放。以下为客户端主动发起释放连接的图解：

挥手之前主动释放连接的客户端结束ESTABLISHED阶段。随后开始“四次挥手”：

（1）首先客户端想要释放连接，向服务器端发送一段TCP报文，其中：

标记位为FIN，表示“请求释放连接“；序号为Seq=U；随后客户端进入FIN-WAIT-1阶段，即半关闭阶段。并且停止在客户端到服务器端方向上发送数据，但是客户端仍然能接收从服务器端传输过来的数据。注意：这里不发送的是正常连接时传输的数据(非确认报文)，而不是一切数据，所以客户端仍然能发送ACK确认报文。

（2）服务器端接收到从客户端发出的TCP报文之后，确认了客户端想要释放连接，随后服务器端结束ESTABLISHED阶段，进入CLOSE-WAIT阶段（半关闭状态）并返回一段TCP报文，其中：

标记位为ACK，表示“接收到客户端发送的释放连接的请求”；序号为Seq=V；确认号为Ack=U+1，表示是在收到客户端报文的基础上，将其序号Seq值加1作为本段报文确认号Ack的值；随后服务器端开始准备释放服务器端到客户端方向上的连接。客户端收到从服务器端发出的TCP报文之后，确认了服务器收到了客户端发出的释放连接请求，随后客户端结束FIN-WAIT-1阶段，进入FIN-WAIT-2阶段

前"两次挥手"既让服务器端知道了客户端想要释放连接，也让客户端知道了服务器端了解了自己想要释放连接的请求。于是，可以确认关闭客户端到服务器端方向上的连接了

（3）服务器端自从发出ACK确认报文之后，经过CLOSED-WAIT阶段，做好了释放服务器端到客户端方向上的连接准备，再次向客户端发出一段TCP报文，其中：

标记位为FIN，ACK，表示“已经准备好释放连接了”。注意：这里的ACK并不是确认收到服务器端报文的确认报文。序号为Seq=W；确认号为Ack=U+1；表示是在收到客户端报文的基础上，将其序号Seq值加1作为本段报文确认号Ack的值。随后服务器端结束CLOSE-WAIT阶段，进入LAST-ACK阶段。并且停止在服务器端到客户端的方向上发送数据，但是服务器端仍然能够接收从客户端传输过来的数据。

（4）客户端收到从服务器端发出的TCP报文，确认了服务器端已做好释放连接的准备，结束FIN-WAIT-2阶段，进入TIME-WAIT阶段，并向服务器端发送一段报文，其中：

标记位为ACK，表示“接收到服务器准备好释放连接的信号”。序号为Seq=U+1；表示是在收到了服务器端报文的基础上，将其确认号Ack值作为本段报文序号的值。确认号为Ack=W+1；表示是在收到了服务器端报文的基础上，将其序号Seq值作为本段报文确认号的值。随后客户端开始在TIME-WAIT阶段等待2MSL

为什么要客户端要等待2MSL呢？见后文。

服务器端收到从客户端发出的TCP报文之后结束LAST-ACK阶段，进入CLOSED阶段。由此正式确认关闭服务器端到客户端方向上的连接。

客户端等待完2MSL之后，结束TIME-WAIT阶段，进入CLOSED阶段，由此完成“四次挥手”。

为什么三次握手？

为了防止服务器端开启一些无用的连接增加服务器开销以及防止已失效的连接请求报文段突然又传送到了服务端，因而产生错误。

由于网络传输是有延时的(要通过网络光纤和各种中间代理服务器)，在传输的过程中，比如客户端发起了SYN=1创建连接的请求(第一次握手)。

如果服务器端就直接创建了这个连接并返回包含SYN、ACK和Seq等内容的数据包给客户端，这个数据包因为网络传输的原因丢失了，丢失之后客户端就一直没有接收到服务器返回的数据包。

客户端可能设置了一个超时时间，时间到了就关闭了连接创建的请求。再重新发出创建连接的请求，而服务器端是不知道的，如果没有第三次握手告诉服务器端客户端收的到服务器端传输的数据的话，

服务器端是不知道客户端有没有接收到服务器端返回的信息的。

这个过程可理解为：

这样没有给服务器端一个创建还是关闭连接端口的请求，服务器端的端口就一直开着，等到客户端因超时重新发出请求时，服务器就会重新开启一个端口连接。那么服务器端上没有接收到请求数据的上一个端口就一直开着，长此以往，这样的端口多了，就会造成服务器端开销的严重浪费。

还有一种情况是已经失效的客户端发出的请求信息，由于某种原因传输到了服务器端，服务器端以为是客户端发出的有效请求，接收后产生错误。

所以我们需要“第三次握手”来确认这个过程，让客户端和服务器端能够及时地察觉到因为网络等一些问题导致的连接创建失败，这样服务器端的端口就可以关闭了不用一直等待。

也可以这样理解：“第三次握手”是客户端向服务器端发送数据，这个数据就是要告诉服务器，客户端有没有收到服务器“第二次握手”时传过去的数据。若发送的这个数据是“收到了”的信息，接收后服务器就正常建立TCP连接，否则建立TCP连接失败，服务器关闭连接端口。由此减少服务器开销和接收到失效请求发生的错误。

为什么4次挥手？

TCP建立连接时之所以只需要"三次握手"，是因为在第二次"握手"过程中，服务器端发送给客户端的TCP报文是以SYN与ACK作为标志位的。SYN是请求连接标志，表示服务器端同意建立连接；ACK是确认报文，表示告诉客户端，服务器端收到了它的请求报文。

即SYN建立连接报文与ACK确认接收报文是在同一次"握手"当中传输的，所以"三次握手"不多也不少，正好让双方明确彼此信息互通。

TCP释放连接时之所以需要“四次挥手”,是因为FIN释放连接报文与ACK确认接收报文是分别由第二次和第三次"握手"传输的。为何建立连接时一起传输，释放连接时却要分开传输？

建立连接时，被动方服务器端结束CLOSED阶段进入“握手”阶段并不需要任何准备，可以直接返回SYN和ACK报文，开始建立连接。释放连接时，被动方服务器，突然收到主动方客户端释放连接的请求时并不能立即释放连接，因为还有必要的数据需要处理，所以服务器先返回ACK确认收到报文，经过CLOSE-WAIT阶段准备好释放连接之后，才能返回FIN释放连接报文。

所以是“三次握手”，“四次挥手”。

同步通信和异步通信：

同步通信：同步通信中双方使用频率一致的时钟 ，它的分组相比异步则大得多，称为一个数据帧，通过独特的bit串作为启停标识。发送方要以固定的节奏去发送数据，而接收方要时刻做好接收数据的准备，识别到前导码后马上要开始接收数据了。同步这种方式中因为分组很大，很长一段数据才会有额外的辅助位负载，所以效率更高，更加适合对速度要求高的传输，当然这种通信对时序的要求也更高。
同步通信是一种连续串行传送数据的通信方式，一次通信只传送一帧信息，由同步字符、数据字符和校验字符（CRC）组成。

异步通信：异步通信在发送字符时，所发送的字符之间的时间间隔可以是任意的。当然，接收端必须时刻做好接收的准备。发送端可以在任意时刻开始发送字符，因此必须在每一个字符的开始和结束的地方加上标志，即加上开始位和停止位，以便使接收端能够正确地将每一个字符接收下来。异步通信的好处是通信设备简单、便宜，但传输效率较低。

下面是可能抽到的另一套

套接字

套接字，是支持TCP/IP的网络通信的基本操作单元，可以看做是不同主机之间的进程进行双向通信的端点，简单的说就是通信的两方的一种约定，用套接字中的相关函数来完成通信过程。1是一种通信机制，凭借这种机制，客户/服务器系统的开发工作既可以在本地单机上进行，也可以跨网络进行，Linux所提供的功能(如打印服务，ftp等)通常都是通过套接字来进行通信的，套接字的创建和使用与管道是有区别的，因为套接字明确地将客户和服务器区分出来，套接字可以实现将多个客户连接到一个服务器。

Ping不通的原因

1.太心急。即网线刚插到交换机上就想Ping通网关，忽略了生成树的收敛时间。当然，较新的交换机都支持快速生成树，或者有的管理员干脆把用户端口
(access port)的生成树协议关掉，问题就解决了。
2.某些路由器端口是不允许用户Ping的。
3.访问控制。不管中间跨越了多少跳，只要有节点(包括端节点)对ICMP进行了过滤，Ping不通是正常的。最常见的就是防火墙的行为。
  
    4.多路由负载均衡场合。比如Ping远端目的主机，成功的reply和timed out交错出现，结果发现在网关路由器上存在两条到目的网段的路由，两条路由权重相等
，但经查一条路由存在问题。
5.网络因设备间的时延太大，造成ICMPecho报文无法在缺省时间(2秒)内收到。时延的原因有若干，比如线路(卫星网时延上下星为540毫秒)，
香港服务器租用路由器处理时延，或路由设计不合理造成迂回路径。使用扩展Ping，增加timed
out时间，可Ping通的话就属路由时延太大问题。
   
    6.引入NAT的场合会造成单向Ping通。NAT可以起到隐蔽内部地址的作用，当由内Ping外时，可以Ping通是因为NAT表的映射关系存在，当由外发起Ping内网主机
时，就无从查找边界路由器的NAT表项了。
7.指定源地址的扩展Ping.登陆到路由器上，Ping远程主机，当ICMP echorequest从串行广域网接口发出去的时候，路由器会指定某个IP地址作为源IP，这个IP地址
可能不是此接口的IP或这个接口根本没有IP地址。而某个下游路由器可能并没有到这个IP网段的路由，导致不能Ping通。可以采用扩展Ping，指定好源IP地址。
8.IP地址分配不连续。地址规划出现问题象是在网络中埋了地雷，地址重叠或掩码划分不连续都可能在Ping时出现问题。比如一个极端情况，A、B两台主机，
经过多跳相连，A能Ping通B的网关，而且B的网关设置正确，但A、B就是Ping不通。经查，在B的网卡上还设有第二个地址，并且这个地址与A所在的网段重叠。

Nat转换

NAT技术的工作原理

NAT名字很准确，网络地址转换，就是替换IP报文头部的地址信息。NAT通常部署在一个组织的网络出口位置，通过将内部网络IP地址替换为出口的IP地址提供公网可达性和上层协议的连接能力。

在NAT的应用中，可以仅需要转换内部地址（就是“内部本地址”转换成“内部全局地址”），这是最典型的应用，如内部网络用户通过NAT转换共享上网；也可以是仅需要转换外部地址（就是“外部全局地址”转换“外部本地地址”之间的转换），如外部用户要访问位于内部网络中的服务器；当然还可以同时转换内部地址和外部地址

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用（Port address Translation,PAT）是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation）.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，网络中应用最多的就是端口多路复用方式。

ALG（Application Level Gateway），即应用程序级网关技术：传统的NAT技术只对IP层和传输层头部进行转换处理，但是一些应用层协议，在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换，NAT使用一种称作ALG的技术，它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。例如：对于FTP协议的PORT/PASV命令、DNS协议的 "A" 和 "PTR" queries命令和部分ICMP消息类型等都需要相应的ALG来支持。

如果协议数据报文中不包含地址信息，则很容易利用传统的NAT技术来完成透明的地址转换功能，通常我们使用的如下应用就可以直接利用传统的NAT技术：HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。

在整个NAT的转换中，最关键的流程有以下几点

网络被分为私网和公网两个部分，NAT网关设置在私网到公网的路由出口位置，双向流量必须都要经过NAT网关

网络访问只能先由私网侧发起，公网无法主动访问私网主机；

NAT网关在两个访问方向上完成两次地址的转换或翻译，出方向做源信息替换，入方向做目的信息替换；

NAT网关的存在对通信双方是保持透明的；

NAT网关为了实现双向翻译的功能，需要维护一张关联表，把会话的信息保存下来。