ICMP报文如何通过NAT来地址转换

最新推荐文章于 2023-05-08 14:31:54 发布
置顶 最新推荐文章于 2023-05-08 14:31:54 发布
阅读量1w 收藏 26
点赞数 15
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33822516/article/details/81088724
版权

在搭建NSX环境的过程,起先没有在Edge路由器上设置NAT,导致VM无法访问外网。经查阅资料后发现,需要配置NAT,配置完SNAT后,比较疑惑的是没有配置DNAT,响应包是怎么把数据包中目的地址修改为VM的地址呢???

抱着这个疑惑,查阅了各种资料后,大致了解其原理,下面将举例子进行介绍

例如:局域网内的A:192.168.0.2/24   B:192.168.0.3/24

路由器两块网卡:192.168.0.1/24      188.10.1.2(公网地址)

           Intenet上web 服务器C: 200.10.2.1

比如A想访问C的web服务,便会发送HTTP请求,请求的源IP、源端口、目的IP和目的端口如下

源IP源端口目的IP目的端口
192.168.0.254333200.10.2.180

当HTTP请求达到路由器的时候,回进行SNAT转换,转换的结果如下

源IP源端口目的IP目的端口
188.10.1.254333200.10.2.180

这时候路由器上的NAT表回添加一行

源IP源端口协议目的IP目的端口
192.168.0.254333HTTP188.10.1.254333

解释一下:NAT表通常是五元组,源IP和源端口就是发送HTTP请求的IP和端口,即A的IP和端口,而目的IP和目的端口则是指转换后的IP地址和端口,即进行SNAT后的源IP和源端口。

当Web服务器C收到HTTP请求后,会发送响应报文,报文的信息如下:

源IP源端口目的IP目的端口
200.10.2.180188.10.1.254333

当报文到达路由器后,会参照NAT表进行DNAT,参考依据,会在NAT表中查找目的IP和目的端口为188.10.1.2和54333的一行,然后用192.168.0.2和54333替换目的IP和目的端口,替换后的报文信息如下:

源IP源端口目的IP目的端口
200.10.2.180192.168.0.254333

然后发往局域网内的A。通过浏览器呈现web网页。

以上就是局域网内机器访问外网的一个流程。从这个流程中可以得出,尽管只配置SNAT,但是在进行源地址和源端口转换的时候,会在路由器的NAT表中插入一行,当响应报文到达路由器的时候,参照NAT表中的信息,进行目的地址和目的端口的转换,所以在不配置DNAT的时候,目的地址和目的端口仍然可以被转换。但是这个过程,只能是局域网内的用户发起请求,响应报文的目的地址和目的端口才会被转换为局域网地址。外网的主机是不能直接访问局域网中的主机的

当局域网中的A和B都想访问C的web服务器,这时候会怎么转换,如果A和B的源端口不同时,就直接将源IP地址转换为路由器的公网地址。如果A和B的源端口也相同,这时候就要将源端口也要替换,例如:A和B都是通过54333端口访问C的web服务。

A:

原报文

源IP源端口目的IP目的端口
192.168.0.254333200.10.2.180

SNAT后的报文

源IP源端口目的IP目的端口
188.10.1.254333200.10.2.180

NAT表

源IP源端口协议目的IP目的端口
192.168.0.254333HTTP188.10.1.254333

B:

原报文

源IP源端口目的IP目的端口
192.168.0.354333200.10.2.180

SNAT后的报文

源IP源端口目的IP目的端口
188.10.1.254334200.10.2.180

NAT表

源IP源端口协议目的IP目的端口
192.168.0.354333HTTP188.10.1.254334

这样就可以根据端口号的不同,将响应报文发送给正确的主机。

问题来了,如果A和B都想ping C,大家都知道ping是基于ICMP的,是没有端口的,那么这样是怎么来实现的呢???

没有端口,那就创造端口,首先ICMP的报文格式如下

   类型(Type)   代码(Code)检验和(Checksum)
                              标识符(Identifier)序列号(Sequence number)
                                                 选项(Option)

在A发送ICMP报文的时候,会根据(Type+Code)的值生成源端口号,根据Identifier的值生成目的端口号,即发送到路由器的报文如下:

源报文:

源IP源端口目的IP目的端口
192.168.0.2(Type+Code)200.10.2.1Identifier

在路由器上进行SNAT,源IP更改后ICMP报文中的Identifier会改变,记作IDENTIFIER。这时候的报文如下:

源IP源端口目的IP目的端口
188.10.1.2IDENTIFIER200.10.2.1Identifier

Nat表

源IP源端口协议目的IP目的端口
192.168.0.2(Type+Code)ICMP188.10.1.2IDENTIFIER

在web服务器C收到ICMP请求后,生成ICMP响应报文,响应报文中的(Type+Code)会作为源端口,IDENTIFIER作为目的端口

源报文

源IP源端口目的IP目的端口
200.10.2.1(Type+Code)188.10.1.2IDENTIFIER

报文到达路由器后,根据NAT表中,查询目的IP和目的端口为188.10.1.2和IDENTIFIER的信息。将目的IP和目的端口换为

192.168.0.2和(Type+Code),这样报文就可以成功的到达A了。

所以ICMP报文的NAT大致是根据ICMP报文的字段,形成伪端口,然后根据TCP报文的流程来处理。

以上是个人查阅资料后总结,有不正确的,还请指出。

Obito_uchiha
关注
  • 15
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
计算机网络(四):ICMP协议,ARP地址解析协议,NAT地址转换,TTL
qq_43398345的博客
02-23 874
该技术不仅能解决 IP 地址不足的问题,而且还能隐藏和保护网络内部主机,从而避免来自外部网络的攻击。ICMP是因特网控制文协议,主要是实现IP协议中未实现的部分功能,是一种网络层协议。ARP是地址解析协议的缩写,该协议提供根据IP地址来获取物理地址的功能,其是一个链路层协议,其在链路层中和物理层进行联系同时向上层提供服务。当通过以太网发送IP数据时,需要先封装32位的IP地址和48位的MAC地址。TTL指的是生存时间,简单来说,他表示了数据在网络中的时间。
深入理解DNS、ICMP协议与NAT技术:网络世界的三大基石
最新发布
希望自己从编程小白变成大佬
05-09 826
在网络世界中,数据的传输和交互离不开各种协议和技术的支持。其中,DNS(域名系统)、ICMP(Internet控制消息协议)和NAT(网络地址转换)技术无疑是构建现代互联网基础设施的三大基石。它们各自扮演着不同的角色,共同确保了网络的高效、安全和稳定。DNS,作为互联网的“电话簿”,负责将我们熟悉的域名(如www.example.com)转换为计算机能够理解的IP地址。没有DNS,我们将无法轻松访问互联网上的各种资源。ICMP,则是一个用于在IP主机、路由器之间传递控制消息的网络层协议。
Nat 对 tcp , udp , icmp 文的处理
卧龙小学堂
02-03 6985
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
路由器NAT功能如何转发数据(路由器对ICMP、TCP、UDP文处理)
lthcth111的专栏
02-04 8146
下图主机1和互联网上的服务器通讯,路由器如何转发IP数据呢?(注意主机1、主机2、主机3的IP地址一样的)
Linux的NAT如何处理ICMP这类带外信息
Netfilter
08-12 7896
清远鸡,不好吃。        关于Linux的nf_conntrack的详细细节,我不再赘述,由于我之前写的文章几乎没有编排目录,我也只能通过谷歌baidu搜索几篇相关列如下,以后我也会注意自己文章的目录编排工作,不然自己都找不到了:《Linux的ip_conntrack半景》《终于搞定Linux的NAT即时生效问题》《Linux系统如何平滑生效NAT》《我和ip_conntrack不得不说的一
NAT转换ICMP(PING)_协议的处理.pdf
09-30
总的来说,NAT转换对不同协议的影响各异,需要精确处理以维持网络通信的正常进行。了解这些处理方式对于网络管理员和IT专业人员来说至关重要,因为它们有助于诊断和解决网络连接问题,特别是在涉及到NAT设备时。
IP地址转换与网卡信息
07-22
接着,Ping命令是网络诊断的常用工具,它通过发送ICMP(因特网控制消息协议)回显请求文来检查网络连接。如果目标主机回应,则说明网络可达。通过观察响应时间,可以评估网络延迟,帮助识别网络问题。 在编程中,...
ICMP协议之tracert实现
04-02
- NAT(网络地址转换):NAT设备会改变IP包的源和目标地址,使得tracert难以追踪真实路径。 总结,通过理解和应用ICMP协议,特别是其超时和目标不可达文,我们可以实现tracert功能,揭示数据包在网络中的完整...
43-协议专栏特别福利 答疑解惑第三期1
08-03
这个过程依赖于内核中的连接跟踪机制,如`conntrack`,它维护了数据包的完整连接状态,使得NAT转换变得智能化和高效。 总结来说,`ping`命令利用`socket`接口和ICMP协议进行网络诊断,ICMP差错文由内核发送以告...
DNS协议、ICMP协议、NAT技术
2021dragon的博客
07-28 6853
文章目录DNS协议DNS背景域名简介域名解析过程使用dig工具分析DNS过程浏览器中输入url后发生的事情ICMP协议ICMP功能ICMP协议格式ping命令一个值得注意的坑traceroute命令NAT技术NAT技术背景NAT IP转换过程NAPTNAT技术的缺陷NAT和代理服务器网络协议总结应用层传输层网络层数据链路层 DNS协议 DNS背景 域名简介 域名解析过程 使用dig工具分析DNS过程 浏览器中输入url后发生的事情 ICMP协议 ICMP功能 ICMP协议格式 ping命令 一个值得注意的坑
ICMP协议和NAT技术
weixin_52669146的博客
05-08 825
一个新搭建好的网络, 往往需要先进行一个简单的测试, 来验证网络是否畅通;但是IP协议并不提供可靠传输. 如果丢包了, IP协议并不能通知传输层是否丢包以及丢包的原因。利用NAT技术可以将私有IP与全局IP形成键值一一对应,当私有IP想出去公网时,就进行查找转换;同理公网IP想进入私网,也是进行查找转换。例如私有IP的世界中,某个私有IP具有唯一性,同样全局IP在全局世界中具有唯一性。IPv4协议中,存在IP地址数量不充足的问题,NAT技术当前解决IP地址不够用的主要手段, 是路由器的一个重要功能;
网络基础之IP&NAT&ICMP(网络层)
阿玮的博客
03-10 849
本文详细介绍了OSI七层模型中网络层的相关协议及设备
DNS、ICMPNAT技术
koala__的博客
04-19 279
DNS(应用层协议) DNS是一整套从域名映射到IP的系统。 DNS背景 TCP/IP使用IP地址和端口号来确定网络上的一台主机的一个程序,但是IP地址不方便记忆。于是人们发明了一种叫主机名的东西,是一个字符串,并且使用hosts文件来描述主机名和IP地址的关系。 DNS系统 一个组织的系统管理机构,维护系统内的每个主机的IP和主机名的对应关系。 如果新计算机接入网络,将这个信息注册...
【校招 --阶段二 网络基础】DNS域名解析,ICMP协议、NAT技术
qq_50408340的博客
03-14 784
一、DNS域名解析 将域名转换为对应的IP地址转换过程叫做DNS域名解析,这个过程被浏览器自动完成。 DNS背景 TCP/IP中使用IP地址和端口号来确定网络上的一台主机的一个程序. 但是IP地址不方便记忆. 于是人们发明了一种叫主机名的东西, 是一个字符串, 并且使用hosts文件来描述主机名和IP地址的关系. 最初, 通过互连网信息中心(SRI-NIC)来管理这个hosts文件的.如果一个新计算机要接入网络, 或者某个计算机IP变更, 都需要到信息中心申请变更hosts文件.其他计算机也需要定期下载更
DNS、ICMPNAT技术总结
aixintianshideshouhu的博客
05-16 1039
DNS DNS是一个从域名映射到IP地址的系统; 一、DNS的背景 TCP/IP使用IP地址和端口号来对应网络上的一台主机的一个进程,但是IP地址并不好记; 于是有了主机名(字符串),并且使用hosts文件来描述主机名和IP地址的关系。 最初是互联网信息中心(SRI-NIC)来管理这个hosts文件,如果 每一个计算机向接入网络,或者想更改IP,都需要到信息管理中心去申请,其他计算机也需要定期更...
网络中其他协议--DNS/ICMP/NAT
weixin_42617262的博客
03-27 307
网络中其他协议–DNS ICMP NAT DNS(域名解析)–应用层 DNS下一层传输层协议为UDP协议。 为什么要有域名解析? 因为域名更好记。 域名简介 主域名是用来识别主机名称和主机所属的组织结构的一种分层结构的名称。 www.baidu.com 域名使用.连接 com:一级域名。表示这是一个企业域名。同级的还有“net”(网络提供商),“org”(非盈利组织)等。 baidu:二级域名,...
DNS、ICMP、以及NAT技术
跑够一万公里就结婚
06-08 780
DNS DNS是一整套从域名映射到IP的系统,底层使用了UDP。是用来识别主机名称和主机所属的组织机构的一种分层结构的名称 DNS系统简单介绍: 一个组织的系统管理机构,维护系统内的每个主机的Ip和主机名的对应关系 如果新的计算机接入网络,将这个信息注册到数据库中 用户输入域名的时候,会自动查询DNS服务器,由DNS服务器检索数据库得到对应的IP地址 www.baidu.c...
如何禁止 ICMP 和 UDP 文通过
06-13
要禁止 ICMP 和 UDP 文通过,您可以使用防火墙软件来配置相应的规则。以下是一些常见的防火墙软件和配置方法: 1. 使用 iptables 防火墙(Linux): 要禁止 ICMP 和 UDP 文通过,您可以使用以下命令: 禁止 ICMP 文通过: ``` sudo iptables -A INPUT -p icmp -j DROP ``` 禁止 UDP 文通过: ``` sudo iptables -A INPUT -p udp -j DROP ``` 注意:这些命令会在 INPUT 链中添加规则,如果您希望在 OUTPUT 或 FORWARD 链中添加规则,可以将 -A INPUT 替换为 -A OUTPUT 或 -A FORWARD。 2. 使用 Windows 防火墙: 要禁止 ICMP 和 UDP 文通过,您可以按照以下步骤操作: - 打开 Windows 防火墙设置。 - 选择“高级设置”。 - 在左侧菜单中选择“入站规则”。 - 选择“新建规则”。 - 选择“自定义”。 - 在“协议类型”中选择“ICMPv4”或“UDP”。 - 选择“这个 IP 地址范围”并输入您要禁止的 IP 地址范围。 - 选择“阻止连接”并单击“下一步”。 - 选择“所有的网络连接”并单击“下一步”。 - 给规则命名并单击“完成”。 请注意,禁止 ICMP 和 UDP 文通过可能会影响您的网络通信。在配置防火墙规则之前,请确保您了解规则的影响,并采取必要的预防措施,例如备份和监控系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值