那些遇到过的问题

对称 NAT 和 UDP 打孔

joh*_*ohn 8 networking firewall nat udp

我读过这个问题,但对称 NAT 的解释不够详细。

请有人帮助我理解以下段落吗?

我阅读了有关对称 NAT 的内容

从相同的内部 IP 地址和端口到特定目标 IP 地址和端口的每个请求都映射到唯一的外部源 IP 地址和端口,如果同一内部主机发送数据包即使具有相同的源地址和端口但发送到不同目的地,使用不同的映射。只有从内部主机接收数据包的外部主机才能发回数据包。

http://en.wikipedia.org/wiki/Network_address_translation#Types_of_NAT

这是关于UDP 打孔的

UDP 打孔不适用于大型企业网络中的对称 NAT 设备(也称为双向 NAT)。在对称 NAT 中,与众所周知的 STUN 服务器的连接相关联的 NAT 映射仅限于从知名服务器接收数据,因此,知名服务器看到的 NAT 映射对端点来说不是有用的信息。

http://en.wikipedia.org/wiki/UDP_hole_punching

但我并没有真正吸收它。我觉得它告诉我(在客户端发起通信的客户端 - 服务器应用程序中)除非 NAT 设备明确允许,否则服务器无法以其他方式进行通信。我不明白为什么会这么说。如果可能的话,你能帮我稍微简化一下这个描述吗?

我们的环境存在一个问题,即知名的远程支持工具无法由同样知名的软件供应商使用来为我们提供支持。客户端是代理感知的,但出于某种原因,它认为不使用它并通过端口 1153 上的 UDP 做一些完全不同的事情可能是个好主意。

The*_*ner 6

从我们的聊天中......所以其他人可能无法获得完整的对话,但基础知识在这里。

所以基本的 NAT = source address:port >> external address:port >> NAT>> new source address:port >> external address port

对于对称 NAT,它是一个静态映射,并且每次对于源和目标都是相同的。

例子: 192.168.100.5:34983 going to 4.2.2.2:53 then REQUIRE it to be 216.222.222.222:44444 with destination 8.8.8.8:333333

“在客户端发起通信的客户端 - 服务器应用程序中)除非 NAT 设备明确允许,否则服务器无法以其他方式进行通信。”

你说的那部分不正确, 它应该

在客户端发起通信的客户端 - 服务器应用程序中)服务器可以在源通过会话中使用的端口建立会话后以另一种方式进行通信。

这意味着如果 2.2.2.2:43424 转到 5.5.5.5:80,那么一旦建立会话,5.5.5.5:80 就会将信息发送回 2.2.2.2:43424。在你的句子中......会话只会是与目的地的源通信,目的地永远不会回复数据包/信息/图形/任何东西。

“我们的环境中存在一个问题,即知名的远程支持工具不能被同样知名的软件供应商用来为我们提供支持。客户端是代理感知的,但出于某种原因,它认为这可能是一个最好不要使用它,而是通过端口 1153 上的 UDP 做一些完全不同的事情。”

那可能是因为他们只是在端口级别阻止了 Logmein/Teamviewer/任何东西,因为他们要求使用不同的端口......所以他们认为如果你允许或在 1153 上通信,它将绕过他们自己的 IT 限制......最好我可以在不知道什么应用程序或完整细节的情况下想到。与对称 NAT 或 UDP 打孔无关……至少就他们提出的问题而言。

我建议与他们的支持团队讨论他们使用的远程支持工具或与他们合作以确定使用您喜欢的工具的方式。如果这意味着某些端口 NATing/规则,那么您需要与他们和您的网络团队合作来解决这个问题。

希望对大家有帮助。

小智 6

在此输入图像描述

在此输入图像描述

看看这些取自维基百科“网络地址翻译”页面的图片。

在“全锥 NAT”中

  1. 一旦内部地址 (iAddr:iPort) 映射到外部地址 (eAddr:ePort),来自 iAddr:iPort 的任何数据包都将通过 eAddr:ePort 发送。
  2. 任何外部主机都可以通过将数据包发送到 eAddr:ePort 来将数据包发送到 iAddr:iPort。

在对称 NAT 中

  1. 每个从相同内部IP地址和端口到特定目标IP地址和端口的请求都会映射到唯一的外部源IP地址和端口;如果同一内部主机发送具有相同源地址和端口但目的地不同的数据包,则将使用不同的映射。
  2. 只有从内部主机接收到数据包的外部主机才能发回数据包。

现在我们来讨论为什么 UDP 打洞不能在对称 NAT 中工作。假设 Server1 是 STUN 服务器,而 Server 2 是不同专用网络的 NAT 设备。在UDP打洞中,Client与Server1连接,并在NAT设备上创建端口映射。但是,当该客户端连接到 Server2 后面的主机时,NAT 设备会创建另一个端口映射,如图 2 所示。Server1 与 Server2 后面的主机共享客户端端口映射,并且使用此端口映射,Server2 无法建立连接,并且 Server2 不知道第二个端口映射。 NAT 设备创建的端口映射。

归档时间:

查看次数:

6741 次

最近记录:

11 年,6 月 前
相关归档
为什么 VLAN 有 IP 地址? 15
如何判断 ssh ControlMaster 连接是否正在使用中 7
超时期限到期后,TIME_WAIT 连接未被清除 7
让Ubuntu在不登录的情况下自动连接到无线AP 6
如果光纤可以正常运行 1gig,那么在考虑升级到 10gig 收发器时是否有任何顾虑? 6
找到两个国家之间的最佳网络延迟 5
Docker debian 慢速 dns 解析 5
如何让Linux重新检测网络接口? 4
如何在 Ubuntu 12.04 VPS 上设置反向 DNS 3
iptables 打开 80 端口,但连接超时 -1
难疑归档
检查 Linux 服务器上的端口是打开还是关闭? 255
如何通过 FTP 使用 rsync 201
什么限制了 Linux 服务器上的最大连接数? 96
ServerName 和 ServerAlias 如何工作? 84
OpenVPN 与 IPsec - 优缺点,使用什么? 80
为什么我会收到 sqlite 错误,“无法打开数据库文件”? 72
DNS 无法在全球范围内传播 66
Ubuntu 在登录时显示“有 1 个僵尸进程” 58
cron 文件夹中的脚本以什么用户身份运行?(即 cron.daily、cron.hourly 等) 57
是否有相当于 Windows 的 ssh-copy-id? 56