CONE NAT 和 Symmetric NAT

最新推荐文章于 2024-01-29 18:03:20 发布
最新推荐文章于 2024-01-29 18:03:20 发布
阅读量183 收藏
点赞数
原文链接:http://www.cnblogs.com/dyufei/p/7466924.html
版权

CONE NAT 和 Symmetric NAT

1. NAT 的划分

  • RFC3489 中将 NAT 的实现分为四大类:
  1. Full Cone NAT 完全锥形 NAT
  2. Restricted Cone NAT 限制锥形 NAT (可以理解为 IP 限制)
  3. Port Restricted Cone NAT 端口限制锥形 NAT ( IP+Port 限制)
  4. Symmetric NAT 对称 NAT

其中完全锥形的穿透性最好,而对称形的安全性最高

1.1 锥形NAT与对称NAT的区别

所谓锥形NAT 是指:只要是从同一个内部地址和端口出来的包,无论目的地址是否相同,NAT 都将它转换成同一个外部地址和端口。

“同一个外部地址和端口”与“无论目的地址是否相同”形成了一个类似锥形的网络结构,也是这一名称的由来。反过来,不满足这一条件的即为对称NAT 。

1.2 举例说明

假设:

NAT 内的主机 A : IP 记为 A ,使用端口 1000
NAT 网关 : IP 记为 NAT ,用于 NAT 的端口池假设为( 5001-5999 )
公网上的主机 B : IP 记为B ,开放端口 2000
公网上的主机 C : IP 记为C ,开放端口 3000
假设主机 A 先后访问主机 B 和 C

1 )如果是锥形 NAT :

那么成功连接后,状态必然如下:

  • A ( 1000 ) —— > NAT ( 5001 )—— > B ( 2000 )
  • A ( 1000 ) —— > NAT ( 5001 )—— > C ( 3000 )

也就是说,只要是从 A 主机的 1000 端口发出的包,经过地址转换后的源端口一定相同。

2 )如果是对称形 NAT :

连接后,状态有可能(注意是可能,不是一定)如下:

  • A ( 1000 ) —— > NAT ( 5001 )—— > B ( 2000 )
  • A ( 1000 ) —— > NAT ( 5002 )—— > C ( 3000 )

两者的区别显而易见。

1.3 三种CONE NAT之间的区别

仍然以上面的网络环境为例, 假设 A 先与 B 建立了连接:

A ( 1000 ) —— > NAT ( 5001 )——— > B ( 2000 )

1) Port Restricted Cone NAT:

只有 B ( 2000 )发往 NAT ( 5001 )的数据包可以到达 A ( 1000 )

B ( 2000 ) —— >  NAT ( 5001 ) ——— >   A ( 1000 )

B ( 3000 ) —— >  NAT ( 5001 ) — X — >   A ( 1000 )

C ( 2000 ) —— >  NAT ( 5001 ) — X — >   A ( 1000 )
2) Restricted Cone NAT

只要是从 B 主机发往 NAT ( 5001 )的数据包都可以到达 A ( 1000 )

B ( 2000 ) —— >  NAT ( 5001 ) ——— >   A ( 1000 )

B ( 3000 ) —— >  NAT ( 5001 ) ——— >   A ( 1000 )

C ( 2000 ) —— >  NAT ( 5001 ) — X — >   A ( 1000 )
3) Full Cone NAT

任意地址发往 NAT ( 5001 )的数据包都可以到达 A ( 1000 )

B ( 2000 ) —— >  NAT ( 5001 ) ——— >   A ( 1000 )

B ( 3000 ) —— >  NAT ( 5001 ) ——— >   A ( 1000 )

C ( 3000 ) —— >  NAT ( 5001 ) ——— >   A ( 1000 )

2. Linux的NAT

Linux的NAT“MASQUERADE”属于对称形NAT。说明这一点只需要否定 MASQUERADE 为锥形 NAT 即可。

linux 在进行地址转换时,会遵循两个原则:

  • 尽量不去修改源端口,也就是说,ip 伪装后的源端口尽可能保持不变。
  • 更为重要的是,ip 伪装后必须 保证伪装后的源地址/ 端口与目标地址/ 端口(即所谓的socket )唯一。

假设如下的情况( 内网有主机 A 和 D ,公网有主机 B 和 C ):
先后 建立如下三条连接:

A ( 1000 ) —— >  NAT ( 1000 )—— >  B ( 2000 )
D ( 1000 ) —— >  NAT ( 1000 )—— >  C ( 2000 )
A ( 1000 ) —— >  NAT ( 1001 )—— >  C ( 2000 )

可以看到,前两条连接遵循了原则 1 ,并且不违背原则 2 而第三条连接为了避免与第二条产生相同的 socket 而改变了源端口比较第一和第三条连接,同样来自 A(1000) 的数据包在经过 NAT 后源端口分别变为了 1000 和1001 。说明 Linux 的 NAT 是对称 NAT 。

3. 对协议的支持

CONENAT 要求原始源地址端口相同的数据包经过地址转换后,新源地址和端口也相同,换句话说,原始源地址端口不同的数据包,转换后的源地址和端口也一定不同。

那么,是不是 Full Cone NAT 的可穿透性一定比 Symmetric NAT 要好呢,或者说,通过 Symmetric NAT 可以建立的连接,如果换成 Full Cone NAT 是不是也一定能成功呢?

假设如下的情况:

(内网有主机A和D,公网有主机B和C,某 UDP 协议服务端口为 2000 ,并且要求客户端的源端口一定为 1000 。 )

1)如果A使用该协议访问B:

A ( 1000 ) —— > NAT ( 1000 )——— > B ( 2000 )

由于 Linux 有尽量不改变源端口的规则,因此在 1000 端口未被占用时,连接是可以正常建立的如果此时D也需要访问B:

D ( 1000 ) —— > NAT ( 1001 )—X— > B ( 2000 )

端口必须要改变了,否则将出现两个相同的 socket ,后续由 B(2000) 发往NAT( 1000 )的包将不知道是转发给A还是D。于是B将因为客户端的源端口错误而拒绝连接。在这种情况下, MASQUERADE 与 CONENAT 的表现相同。

####2)如果A连接B后,D也像C发起连接,而在此之后,A又向C发起连接

① A ( 1000 ) —— > NAT ( 1000 )——— > B ( 2000 )

如果是 MASQUERADE :

② D ( 1000 ) —— > NAT ( 1000 )——— > C ( 2000 )

③ A ( 1000 ) —— > NAT ( 1001 )—X— > C ( 2000 )

如果是 CONENAT :

② D ( 1000 ) —— > NAT ( 1001 )—X— > C ( 2000 )

③ A ( 1000 ) —— > NAT ( 1000 )——— > C ( 2000 )

对于 MASQUERADE 来说,只要在没有重复的 socket 的情况下,总是坚持尽量不改变源端口的原则,因此第二条连接仍然采用源端口 1000 ,而第三条连接为了避免重复的 socket 而改变了端口。

对于 CONENAT ,为了保证所有来自 A(1000) 的数据包均被转换为 NAT(1000) ,因此 D 在向 C 发起连接时,即使不会产生重复的 socket ,但因为 NAT 的 1000 端口已经被 A(1000) “占用”了,只好使用新的端口。

可以看出,不同的 target 产生不同的结果。我们也不能绝对的说,在任何时候,全锥形 NAT 的可穿透性都比对称 NAT 要好,比如上面的例子,如果只存在连接①和②,显然是对称形 NAT 要更适用。因此,选择哪种 NAT ,除了对网络安全和普遍的可穿透性的考虑外,有时还需要根据具体应用来决定。

原文出处:http://blog.csdn.net/ojhsky/article/details/6011232

Nat的类型——Cone Nat、Symmetic Nat

Nat共分为四种类型:

  • 1.Full Cone Nat
  • 2.Restriced Cone Nat
  • 3.Port Restriced Cone Nat
  • 4.Symmetric Nat

Symmetric Nat 与 Cone Nat的区别

  • 1.三种Cone Nat同一主机,同一端口会被映射为相同的公网IP和端口
  • 2.Symmetric Nat只有来自同一主机,同一端口发送到同一目的主机、端口,映射的公网IP和端口才会一致
一、Full Cone Nat

该nat 将内网中一台主机的IP和端口映射到公网IP和一个指定端口,外网的任何主机都可以通过映射后的IP和端口发送消息

例如:主机A(192.168.0.123:4000)访问主机B,A的IP将会被映射为(222.123.12.23:50000);

当主机A使用4000端口访问主机C时,同样会被映射为(222.123.12.23:50000);而且此时任何主机C 、D·····(包含主机A未访问过的主机)都可以使用(222.123.12.23:50000)访问到主机A(192.168.0.123:4000)。

二、Restriced Cone Nat

该nat 将内网中一台主机的IP和端口映射到公网IP和一个指定端口,只有访问过的IP可以通过映射后的IP和端口连接主机A

例如:主机A(192.168.0.123:4000)访问主机B(223.124.34.23:9000),A的IP将会被映射为(222.123.12.23:50000);

此时只有Ip为(223.124.34.23)才能通过(222.123.12.23:50000)连接主机A。

三、Port Restriced Cone Nat

该nat 将内网中一台主机的IP和端口映射到公网IP和一个指定端口,只有访问过的IP和端口可以通过映射后的IP和端口连接主机A

例如:主机A(192.168.0.123:4000)访问主机B(223.124.34.23:9000),A的IP将会被映射为(222.123.12.23:50000);

此时只有Ip为(223.124.34.23:9000)才能通过(222.123.12.23:50000)连接主机A。

四、Symmetric Nat

当主机A(192.168.0.123:4000)访问主机B(223.124.34.23:9000),A的IP被映射为(222.123.12.23:50000)后,并将这三个IP、端口进行绑定;

等到主机A(192.168.0.123:4000)访问主机C时,可能(注意是可能,也有可能会不变)会被映射为(222.123.12.23:60010),然后又会将这三个IP、端口绑定;

转载于:https://www.cnblogs.com/dyufei/p/7466924.html

weixin_30604651
关注
一种TCP协议穿透Symmetric_NAT方案
09-30
一种TCP协议穿透Symmetric_NAT方案
NAT检测工具.zip
11-25
NAT类型通常分为四种:Full Cone NAT、Restricted Cone NAT、Port Restricted Cone NATSymmetric NAT。这些类型的NAT有不同的规则,对数据包的转发方式也不同,这直接影响到P2P网络的连通性和性能。 1. Full Cone...
Symmetric NATCone NAT
Sky的专栏
09-04 4117
现在我们知道,通过NAT,,内网的计算机向外连结是很容易的。NAT对于内网和外网的计算机是透明的。内网的机器欲访问外面的机器,可在NAT上“打洞”,而且这个“洞”是有方向的。也就是让NAT建一个session,从而建立映射。     那么,如果同一个进程,与外网的两台机器,同时建立联系,情况又是如何呢。       如图所示:Client A的原来那个Socket(绑定了1234端口的那个U
Symmetric NAT详解,应对无所不能的网络难题!
m0_72410588的博客
08-25 3831
Symmetric NAT是一种特殊的NAT类型,也被称为Bi-directional NAT或Dynamic NAT。与其他NAT类型不同的是,Symmetric NAT在转换IP地址和端口时不遵循固定规则,而是根据会话的需求动态分配。具体来说,Symmetric NAT会为每个会话随机分配一个新的IP地址和端口,导致同一内部IP地址的不同会话在外部网络中具有不同的IP地址和端口。这种随机性使得Symmetric NAT更加安全,但也给一些特定应用带来了挑战。
对称型(Symmetrict)NAT打洞穿透可行性分析
bjrxyz的专栏
01-31 5397
此文章就对称型(Symmetrict)NAT到底是否能够穿透问题给出原理性的解释。
自动NAT检测STUN源代码.rar_nat stun_nat 类型_nat在线检测_nat检测_网络类型
09-21
NAT类型通常分为几种,包括:Full Cone NAT、Restricted Cone NAT、Port-Restricted Cone NATSymmetric NAT,每种类型对数据包的转发规则不同,对P2P和在线游戏等需要双向通信的应用影响显著。 STUN服务器的...
NatTypeTest工具,NAT类型测试小工具
04-03
5. **对称NATSymmetric NAT)**:最严格的NAT类型,每次对外部的连接请求都会分配一个新的公共IP和端口,导致与其他设备的连接最为复杂。 NatTypeTest工具通过发送和接收特定的网络数据包,分析响应和转发规则,...
基于端口准随机猜测的UDP穿越Symmetric_NAT的方法
07-14
- Symmetric NAT:对称性NAT,为每个新连接创建不同的端口映射,是一种相对较为严格和复杂的NAT类型。 3. UDP穿透NAT的问题: 由于NAT只允许从内部到外部的主动访问,而对由外部主动发送到内部的报文会进行丢弃,...
NAT的四种类型及类型检测
10-01
Restricted Cone NAT是Full Cone NAT的受限版本,它将所有来自同一个内部Tuple的请求转换至同一个外部Tuple,但只有当内部主机曾经发送过报文给外部主机后,外部主机才能以Y中的信息作为目标地址和目标端口,向内部...
UDP穿越Symmetric NAT(对称型NAT)的端口猜测方法
07-22
UDP穿越Symmetric NAT(对称型NAT)的端口猜测方法的几篇文章
NAPT的类型(Cone NATSymmetric NAT
热门推荐
Rookie_Manito的博客
12-26 3万+
NAPT与NAT的区别在于,NAPT不仅转换IP包中的IP地址,还对IP包中TCP和UDP的Port进行转换。这使得多台私有网主机利用1个NAT公共IP就可以同时和公共网进行通信。(NAPT多了对TCP和UDP的端口号的转换) 一、带防火墙的NAT NAT一开始的功能只是一种映射,其功能是将内网IP、端口 映射到 公网 IP 端口;而防火墙的功能是过滤进出内网的数据,带防火墙功能的NAT,即带有过...
Nat的类型——Cone NatSymmetic Nat【转】
Uaena的博客
07-03 2099
(转自:https://blog.csdn.net/yifuteli_kevin/article/details/8911261) Nat共分为四种类型: 1.Full Cone Nat 2.Restriced Cone Nat 3.Port Restriced Cone Nat 4.Symmetric Nat Symmetric NatCone Nat的区别 1.三种Cone Nat同一主机,同一端口会被映射为相同的公网IP和端口 2.Symmetric Nat只有来自同一主机
对称型NAT穿透 基于端口猜测且双方都位于Symmetric NAT后的打洞尝试
l807575的博客
02-18 7583
NAT穿透相关介绍 NAT(Network Address Translation,网络地址转换)技术在Ipv4地址枯竭的今天大规模应用,导致大量用户使用同一个公网IP地址,由此造成计算机无法对等访问,BT等P2P下载工具失效等。 而NAT具体又分为4种类型,两类(对称型,锥型),其中锥形NAT容易穿透,讲解打洞方法的文章也多,这里不作分析。 NAT穿透可行的几种类型 里面提到了若双方都处于对称型...
NAT 四种类型
CAir2的专栏
01-03 1万+
原文地址:https://blog.csdn.net/eydwyz/article/details/87364157 NAT主要分为两大类:锥型(Cone)和对称型(Symmetric)。 1.为什么需要NATNAT缓解了IPV4地址不够用的问题,同时也也带了限制,那就是NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一...
基于Hole Punching的UDP穿越Symmetric NAT的方法(下)
oONukeOo的专栏
10-15 2111
我们把以上猜法和算法称为准随机猜测。简化的客户端算法流程如图2所示。图2 客户端算法流程        2.1.4  k值的确定与目标端口号的表达式k是从B向S注册起到向A发送第一个猜询报文期间,B方内网主机包括B在NAT同一全局地址上端口映射的次数。K值靠估计确定。考虑的因素之一是A方和B方内网当前注册的客户端总数,其值越大则k值越大;因素之二是B方内网可能注册的客户端总数,其值越大则k值越大;因素之三是B方NAT中的全局IP地址总数,其值越大则k值越小。因素之一的当前注册的客户端总数n,在Client
FullCone-NATSymmetricCone-NAT与P2P下载
好记性不如烂笔头
11-05 1336
一个内部地址A:端口a映射到一个外部地址B:端口b后,所有发自该内部地址A:端口a的包都经由该外部地址B:端口b向外发送,某外部主机C能给该外部地址B:端口b发包到达该内部地址A:端口a的前提是:该内部地址A:端口a之前发送过包到该外部主机C(该外部主机C的端口不限)。一个内部地址A+端口a映射到一个外部地址B+端口b后,所有发自该内部地址A+端口a的包都经由该外部地址B+端口b向外发送,任意外部主机C都能给该外部地址B+端口b发包到达该内部地址A+端口a。一、Full cone NAT(完全锥形NAT
什么是NATNAT类型有哪些?
最新发布
01-29 1485
当私网用户主机访问Internet时,私网用户主机发送的报文到达NAT设备后,设备通过源NAT技术将报文中的私网IPv4地址转换成公网IPv4地址,从而使私网用户可以正常访问Internet。当公网用户主机发送的报文到达NAT设备后,设备通过目的NAT技术将报文中的公网IPv4地址转换成私网IPv4地址,从而使公网用户可以使用公网地址访问私网服务。这是一种比较宽松的策略,只要建立了私网IP地址和端口与公网IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机。
UDP穿越NAT:端口准随机猜测技术
"这篇文档主要讨论了如何在UDP通信中穿越Cone NATSymmetric NAT的问题,特别是如何在客户端之间建立直接的UDP通信路径。它介绍了UDP报文穿越NAT的基本过程,包括客户端注册、NAT开洞以及如何在Symmetric NAT环境下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值