linux nat 博客,linux NAT的划分

最新推荐文章于 2023-08-23 18:48:56 发布
最新推荐文章于 2023-08-23 18:48:56 发布
阅读量289 收藏 1
点赞数
文章标签: linux nat 博客

1. NAT 的划分

RFC3489 中将 NAT 的实现分为四大类:

1. Full Cone

NAT 完全锥形 NAT

2. Restricted Cone

NAT 限制锥形 NAT (可以理解为 IP 限制)

3. Port Restricted Cone

NAT 端口限制锥形 NAT ( IP+Port 限制)

4. Symmetric

NAT 对称 NAT

其中完全锥形的穿透性最好,而对称形的安全性最高

1.1 锥形NAT与对称NAT的区别

所谓锥形NAT

是指:只要是从同一个内部地址和端口出来的包,无论目的地址是否相同,NAT

都将它转换成同一个外部地址和端口。

“同一个外部地址和端口”与“无论目的地址是否相同”形成了一个类似锥形的网络结构,也是这一名称的由来。

反过来,不满足这一条件的即为对称NAT 。

1.2 举例说明

假设:

1.NAT 内的主机 A : IP 记为 A ,使用端口 1000

2.NAT

网关 : IP 记为 NAT ,用于 NAT

的端口池假设为( 5001-5999 )

3.公网上的主机 B : IP 记为B ,开放端口 2000

4.公网上的主机 C : IP

记为C ,开放端口 3000

假设主机 A 先后访问主机 B 和 C

1 )如果是锥形 NAT :

那么成功连接后,状态必然如下:

A ( 1000 ) —— > NAT (

5001 )—— > B ( 2000

)

A ( 1000 ) —— > NAT (

5001 )—— > C ( 3000

)

也就是说,只要是从 A 主机的 1000

端口发出的包,经过地址转换后的源端口一定相同。

2 )如果是对称形 NAT :

连接后,状态有可能(注意是可能,不是一定)如下:

A ( 1000 ) —— > NAT (

5001 )—— > B ( 2000

)

A ( 1000 ) —— > NAT (

5002 )—— > C ( 3000

)

两者的区别显而易见。

1.3 三种CONE NAT之间的区别

仍然以上面的网络环境为例, 假设 A 先与 B

建立了连接:

A ( 1000 ) —— > NAT (

5001 )——— > B ( 2000

)

1) Port Restricted Cone NAT:

只有 B ( 2000 )发往 NAT ( 5001

)的数据包可以到达 A ( 1000 )

===========================================================

B ( 2000 ) —— > NAT (

5001 ) ———

> A ( 1000

)

B ( 3000 ) —— > NAT (

5001 ) — X —

> A ( 1000

)

C ( 2000 ) —— > NAT (

5001 ) — X —

> A ( 1000

)

2) Restricted Cone NAT

只要是从 B 主机发往 NAT ( 5001

)的数据包都可以到达 A ( 1000 )

==========================================================

B ( 2000 ) —— > NAT (

5001 ) ———

> A ( 1000

)

B ( 3000 ) —— > NAT (

5001 ) ———

> A ( 1000

)

C ( 2000 ) —— > NAT (

5001 ) — X —

> A ( 1000

)

3) Full Cone NAT

任意地址发往 NAT ( 5001 )的数据包都可以到达 A

( 1000 )

==========================================================

B ( 2000 ) —— > NAT (

5001 ) ———

> A ( 1000

)

B ( 3000 ) —— > NAT (

5001 ) ———

> A ( 1000

)

C ( 3000 ) —— > NAT (

5001 ) ———

> A ( 1000

)

2. Linux的NAT

Linux的NAT“MASQUERADE”属于对称形NAT。

说明这一点只需要否定 MASQUERADE 为锥形 NAT

即可。

Linux 在进行地址转换时,会遵循两个原则:

1.尽量不去修改源端口,也就是说,ip

伪装后的源端口尽可能保持不变。

2.更为重要的是,ip 伪装后必须

保证伪装后的源地址/ 端口与目标地址/

端口(即所谓的socket )唯一。

假设如下的情况( 内网有主机 A 和 D ,公网有主机

B 和 C ):

先后 建立如下三条连接:

1.A ( 1000 ) —— > NAT

( 1000 )—— > B ( 2000

)

2.D ( 1000 ) —— > NAT (

1000 )—— > C ( 2000

)

3.A ( 1000 ) —— > NAT (

1001 )—— > C ( 2000

)

可以看到,前两条连接遵循了原则 1

,并且不违背原则 2

而第三条连接为了避免与第二条产生相同的 socket

而改变了源端口

比较第一和第三条连接,同样来自 A(1000)

的数据包在经过 NAT 后源端口分别变为了 1000 和 1001

。说明 Linux 的 NAT 是对称 NAT 。

3. 对协议的支持

CONENAT

要求原始源地址端口相同的数据包经过地址转换后,新源地址和端口也相同,换句话说,原始源地址端口不同的数据包,转换后的源地址和端口也一定不同。

那么,是不是 Full Cone NAT 的可穿透性一定比

Symmetric NAT 要好呢,或者说,通过 Symmetric NAT

可以建立的连接,如果换成 Full Cone NAT

是不是也一定能成功呢?

假设如下的情况:

(内网有主机A和D,公网有主机B和C,某 UDP

协议服务端口为 2000

,并且要求客户端的源端口一定为 1000 。 )

1)如果A使用该协议访问B:

A ( 1000 ) —— > NAT (

1000 )——— > B ( 2000

)

由于 Linux 有尽量不改变源端口的规则,因此在

1000 端口未被占用时,连接是可以正常建立的

如果此时D也需要访问B:

D ( 1000 ) —— > NAT (

1001 )—X—

> B ( 2000

)

端口必须要改变了,否则将出现两个相同的 socket

,后续由 B(2000) 发往NAT( 1000

)的包将不知道是转发给A还是D。

于是B将因为客户端的源端口错误而拒绝连接。

在这种情况下, MASQUERADE 与 CONENAT

的表现相同。

2)如果A连接B后,D也像C发起连接,而在此之后,A又向C发起连接

① A ( 1000 ) —— > NAT (

1000 )——— > B ( 2000

)

如果是 MASQUERADE :

② D ( 1000 ) —— > NAT (

1000 )——— > C ( 2000

)

③ A ( 1000 ) —— > NAT (

1001 )—X— > C ( 2000

)

如果是 CONENAT :

② D ( 1000 ) ——

> NAT ( 1001

)—X— > C ( 2000 )

③ A ( 1000 ) —— > NAT (

1000 )——— > C ( 2000

)

对于 MASQUERADE 来说,只要在没有重复的 socket

的情况下,总是坚持尽量不改变源端口的原则,因此第二条连接仍然采用源端口

1000 ,而第三条连接为了避免重复的 socket

而改变了端口。

对于 CONENAT ,为了保证所有来自 A(1000)

的数据包均被转换为 NAT(1000) ,因此 D 在向 C

发起连接时,即使不会产生重复的 socket ,但因为

NAT 的 1000 端口已经被 A(1000)

“占用”了,只好使用新的端口。

可以看出,不同的 target

产生不同的结果。我们也不能绝对的说,在任何时候,全锥形

NAT 的可穿透性都比对称 NAT

要好,比如上面的例子,如果只存在连接①和②,显然是对称形

NAT 要更适用。

因此,选择哪种 NAT

,除了对网络安全和普遍的可穿透性的考虑外,有时还需要根据具体应用来决定。

cce544e7261bf3a4535656c82b969b03.png

转发至微博

cce544e7261bf3a4535656c82b969b03.png

转发至微博

Mister.Pong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux——什么是NATNAT的分类和用途?
lmm0513的博客
04-23 7579
什么是NATNAT的分类和用途? (1)NAT提供了将一个地址域映射到另一个地址域的标准方法(RFC 1631) NAT是一种常用的广域网接入技术,将私有(保留)地址转化为合法IP地址的转换技术 NAT可以在多重的Internet子网中使用相同的IP(私有地址),用来减少注册IP地址的使用 10.0.0.0~10.255.255.255 10.0.0....
Linux怎么检测nat类型,NAT的四种类型及检测[转]
weixin_36261424的博客
05-13 3136
用语定义1.内部Tuple:指内部主机的私有地址和端口号所构成的二元组,即内部主机所发送报文的源地址、端口所构成的二元组2.外部Tuple:指内部Tuple经过NAT的源地址/端口转换之后,所获得的外部地址、端口所构成的二元组,即外部主机收到经NAT转换之后的报文时,它所看到的该报文的源地址(通常是NAT设备的地址)和源端口3.目标Tuple:指外部主机的地址、端口所构成的二元组,即内部主机所发送...
Linux对称NAT的UDP穿越
系统运维
06-09 409
和同事讨论UDP打洞技术,后做了一个简单的实验,由于Windows上设置NAT以及察看其原理太麻烦或者根本就不可能,于是还是使用Linux做了实验,发现基于Linux ip_conntrack这种对称NAT也能很简单的实现UDP穿越,实验很简单,并且这种UDP穿越还不需要公网服务器的协助(因为它们对于对称NAT或者基于连接的NAT根本帮不上什么忙),很实用。在展示实验之前,首先要明白以下的知识点。...
Linux NAT 类型详解
sdc20102010的博客
04-27 5724
什么是NAT? 为什么需要NAT? 下面我们就详细的了解一下。为什么需要nat 以为我们的IPv4 地址有限 不可能全世界的人没人分一个也没关系,如果够全世界每人一个 我们就不需要nat了你只要知道我的ip就可以找到我了。 正式给予这种ipv4的局限性,为了节省公网ip 就必须有一种个丝网和公网转换的方式,这种方式就是NAT. 因此大家也就明白了ipv6 为什么可以不走nat 而直接走 route...
Linux系统安全:NAT(SNAT、DNAT
最新发布
Personal_Liberty的博客
08-23 1441
NAT: network address translation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链请求报文:修改源/目标IP,响应报文:修改源/目标IP,根据跟踪机制自动实现NAT的实现分为下面几种类型:SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改源IP。
Linux下多网段Nat实现与应用.pdf
09-06
Linux环境下,多网段NAT(网络地址转换)的实现和应用对于解决IP地址匮乏问题,优化网络架构,以及节省成本具有重要意义。NAT是一种网络技术,它允许内部网络的设备通过一个公共的IP地址访问外部网络,同时对外部...
linux虚拟机使用教程.pptx
04-15
虚拟机的网络工作模式有多种,例如桥接网络(网桥模式)、Nat网络、Host-Only网络等。不同的网络模式具有不同的作用,需要根据实际情况选择合适的网络模式。 实验 在实验部分,我们将实践虚拟机的建立和使用。首先...
Linux的安装及应用
03-20
- 可以选择让安装程序自动分区,也可以手动划分硬盘空间。 - 如果是初学者建议使用自动分区,以免出现分区错误导致数据丢失。 4. **设置语言和地区**: - 在安装过程中需要设置系统的语言和地区,这将直接影响...
linux驱动工程面试必问知识点
11-05
2. Linux 中内存划分及如何使用 Linux 操作系统将内存分为虚拟地址空间和物理地址空间。虚拟地址空间是进程看到的地址空间,而物理地址空间是实际的物理内存。Linux 使用页表机制来实现虚拟地址空间到物理地址空间...
Linux学习笔记.pdf(学习B站兄弟连教学视频)
09-06
系统分区包括主分区、扩展分区、逻辑分区等,磁盘分区编辑器可以在磁盘上划分几个逻辑区域,碟片一旦划分成数个分区(partition),不同类的目录和文件可以存储进不同的分区中。格式化(高级格式化、逻辑格式化)...
NAT类型检测工具
05-03
NAT类型检测工具 直接运行,相当好用,但要有.NET 2.0以上的环境支持,也就是说,要安装VC++ 6.0或VS,如果不想用这个工具的话,还有个在线网址,大家可以看一下,不过还是要下载JAVA虚拟机: http://nattest.net.in.tum.de/
Linux设备检测外部网络NAT类型
u012176686的博客
05-06 4636
Linux设备检测外部网络NAT类型 在异地组网的过程中发现,对称型NAT(Symmetric NAT)对P2P穿透的支持很不好,因此在搭建P2P穿透个人使用的客户端或服务器之前有必要搞清楚自己所在网络环境的NAT类型。 Windows设备的NAT类型检测工具网上一搜一大把,而Linux的检测工具比较难找,这里提供一种方法和教程。 工具:pystun pystun是一个STUN客户端工具,用于获取局域网的NAT类型和公网IP。 A Python STUN client for getting NAT typ
Linux怎么检测nat类型,STUN(RFC3489)的NAT类型检测方法
weixin_34051133的博客
05-13 1667
在现实Internet网络环境中,大多数计算机主机都位于防火墙或NAT之后,只有少部分主机能够直接接入Internet。很多时候,我们希望网络中的两台主机能够直接进行通信(即所谓的P2P通信),而不需要其它公共服务器的中转。由于主机可能位于防火墙或NAT之后,在进行P2P通信之前,我们需要进行检测以确认它们之间能否进行P2P通信以及如何通信。这种技术通常被称为NAT穿透(NAT Traversal...
Linux网络-NAT技术
~
07-23 1984
NAT(NetworkAddressTranslator,网络地址转换)是用于在本地网络中使用私有地址,在连接互联网时转而使用全局IP地址的技术。NAT实际上是为解决IPv4地址短缺而开发的技术。
NAT类型分类与定义
qq_16334327的博客
04-23 5133
图引用地址:https://www.zhihu.com/question/38729355 NAT分为两大类,基本的NAT和NAPT(即端口NAT,英文全称为Network Address/Port Translator) 1、基本NAT分为静态NAT、动态NAT 静态转换 (Static Nat) 是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一一对应的,不变的,某个私有...
NAT
THEXEME的博客
11-25 394
NAT NAT 是一个IETF 标准,允许一个机构以一个地址出现在 Internet 上。NAT 技术使得一个私有网络可以通过Internet 注 册IP 连接到外部世界,位于Inside 网络和Outside 网络中的 NAT 路由器在发送数据包之前,负责把内部IP 地址翻译成外部合法 IP 地址。 NAT 将每个局域网节点的IP 地址转换成一个合法IP 地址,反 之亦然。它也可以应用到防火墙技...
Linux NAT 工作方式
Andrew Yang's Note
05-15 1361
https://www.cnblogs.com/imstudy/p/5458133.html 全锥形NAT 其特点为: 一旦内部主机端口对(iAddr:iPort)被NAT网关映射到(eAddr:ePort), 所有后续的(iAddr:iPort)报文都会被转换为(eAddr:ePort); 任何一个外部主机发送到(eAddr:ePort)的报文将会被转换后发到(iAddr:iPort)。 完...
全面总结NAT技术原理与应用
zyj66666的博客
07-06 1244
今天和一起来聊聊“NAT技术原理与应用”,由于个人原因讲解的范围有限,但还是可以帮助大家不少的,有需要的小伙伴,可以参考一下。 1概述   1.1简介   1.1.1名词解释   公有IP地址:也叫全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻址的地址。   私有IP地
NAT详解
zjdda的博客
04-15 4746
这是一篇介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层开发人员而言有很高的参考价值。
SSPU Linux 路由交换配置详解:OSPF、VLAN与动态NAT
包括VLAN的创建和划分、二层接口与三层接口的类型、链路聚合、生成树协议、静态路由与默认路由、RIP协议、OSPF协议、PPP链路协议、CHAP认证、动态NAT地址转换、访问控制列表以及路由器的具体配置。 在拓扑图中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值