- NAT的产生原因是IPv4的地址不够用,网络中的部分主机只能公用一个外网IP。
- NAT工作在网络层和传输层,主要是对IP地址和端口号的改变
- NAT的优点
- 节约公网IP
- 安全性更好,所有流量都需要经过入口的防火墙
- NAT的缺点
- 对于UPD应用不够友好
NAT 工作原理
内部的设备X, 经过NAT设备后,NAT设备会改写源IP和端口
NAT 类型
1. 全锥型
- 每个内部主机都有一个静态绑定的外部ip:port
- 任何主机发往NAT设备上特定ip:port的包,都会被转发给绑定的主机
- 这种方式的缺点很明显,黑客可以使用端口扫描工具,扫描出暴露的端口,然后通过这个端口攻击内部主机
- 在内部主机没有往外发送流量时,外部流量也能够进入内部主机
-
2. 限制锥形
- NAT上的ip:port与内部主机是动态绑定的
- 如果内部主机没有向某个主机先发送过包,那么NAT会拒绝外部主机进入的流量
3. 端口限制型
- 端口限制型除了有限制锥型的要求外,还增加了端口的限制
4. 对称型
- 对称型最难穿透,因为每次交互NAT都会使用不同的端口号,所以内外网端口映射根本无法预测
NAT对比表格
| NAT类型 | 收数据前是否需要先发送数据 | 是否能够预测下一次的NAT打开的端口对 | 是否限制包的目的ip:port |
|---|---|---|---|
| 全锥形 | 否 | 是 | 否 |
| 限制锥形 | 是 | 是 | 仅限制IP |
| 端口限制型 | 是 | 是 | 是 |
| 对称型 | 是 | 否 | 是 |