自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

四種NAT的iptables實現(xiàn)

作者:magiczz
運維 系統(tǒng)運維
IPtabels被認為是Linux中實現(xiàn)包過濾功能的第四代應(yīng)用程序。iptables包含在2.4以后的內(nèi)核中,它可以實現(xiàn)防火墻、NAT(網(wǎng)絡(luò)地址翻譯)和數(shù)據(jù)包的分割等功能。本文講述的是四種NAT的iptables的實現(xiàn)。

四種NATiptables實現(xiàn):

  1. Full Cone NAT:所有來自同一個內(nèi)部Tuple X的請求均被NAT轉(zhuǎn)換至同一個外部Tuple Y,而不管這些請求是不是屬于同一個應(yīng)用或者是多個應(yīng)用的。除此之外,當X-Y的轉(zhuǎn)換關(guān)系建立之后,任意外部主機均可隨時將Y中的地址和端口作為目標地址和目標端口,向內(nèi)部主機發(fā)送UDP報文,由于對外部請求的來源無任何限制,因此這種方式雖然足夠簡單,但卻不那么安全。

  2. Restricted Cone NAT: 它是Full Cone的受限版本:所有來自同一個內(nèi)部Tuple X的請求均被NAT轉(zhuǎn)換至同一個外部Tuple Y,這與Full Cone相同,但不同的是,只有當內(nèi)部主機曾經(jīng)發(fā)送過報文給外部主機(假設(shè)其IP地址為Z)后,外部主機才能以Y中的信息作為目標地址和目標端口,向內(nèi)部主機發(fā)送UDP請求報文,這意味著,NAT設(shè)備只向內(nèi)轉(zhuǎn)發(fā)(目標地址/端口轉(zhuǎn)換)那些來自于當前已知的外部主機的UDP報文,從而保障了外部請求來源的安全性。

  3. Port Restricted Cone NAT:它是Restricted Cone NAT的進一步受限版。只有當內(nèi)部主機曾經(jīng)發(fā)送過報文給外部主機(假設(shè)其IP地址為Z且端口為P)之后,外部主機才能以Y中的信息作為目標地址和目標端口,向內(nèi)部主機發(fā)送UDP報文,同時,其請求報文的源端口必須為P,這一要求進一步強化了對外部報文請求來源的限制,從而較Restrictd Cone更具安全性。

  4. Symmetric NAT:這是一種比所有Cone NAT都要更為靈活的轉(zhuǎn)換方式:在Cone NAT中,內(nèi)部主機的內(nèi)部Tuple與外部Tuple的轉(zhuǎn)換映射關(guān)系是獨立于內(nèi)部主機所發(fā)出的UDP報文中的目標地址及端口的,即與目標Tuple無關(guān);在Symmetric NAT中,目標Tuple則成為了NAT設(shè)備建立轉(zhuǎn)換關(guān)系的一個重要考量:只有來自于同一個內(nèi)部Tuple 、且針對同一目標Tuple的請求才被NAT轉(zhuǎn)換至同一個外部Tuple,否則的話,NAT將為之分配一個新的外部Tuple;打個比方,當內(nèi)部主機以相同的內(nèi)部Tuple對2個不同的目標Tuple發(fā)送UDP報文時,此時NAT將會為內(nèi)部主機分配兩個不同的外部Tuple,并且建立起兩個不同的內(nèi)、外部 Tuple轉(zhuǎn)換關(guān)系。與此同時,只有接收到了內(nèi)部主機所發(fā)送的數(shù)據(jù)包的外部主機才能向內(nèi)部主機返回UDP報文,這里對外部返回報文來源的限制是與Port Restricted Cone一致的。不難看出,如果說Full Cone是要求最寬松NAT UDP轉(zhuǎn)換方式,那么,Symmetric NAT則是要求最嚴格的NAT方式,其不僅體現(xiàn)在轉(zhuǎn)換關(guān)系的建立上,而且還體現(xiàn)在對外部報文來源的限制方面。

  NAT類型檢測

  前提條件:有一個公網(wǎng)的Server并且綁定了兩個公網(wǎng)IP(IP-1,IP-2)。這個Server做UDP監(jiān)聽(IP-1,Port-1),(IP-2,Port-2)并根據(jù)客戶端的要求進行應(yīng)答。

  第一步:檢測客戶端是否有能力進行UDP通信以及客戶端是否位于NAT后?

  客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port, 客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包,要設(shè)定socket Timeout(300ms),防止無限堵塞. 重復(fù)這個過程若干次。如果每次都超時,無法接受到服務(wù)器的回應(yīng),則說明客戶端無法進行UDP通信,可能是防火墻或NAT阻止UDP通信,這樣的客戶端也就不能P2P了(檢測停止)。

  當客戶端能夠接收到服務(wù)器的回應(yīng)時,需要把服務(wù)器返回的客戶端(IP,Port)和這個客戶端socket的(LocalIP,LocalPort)比較。如果完全相同則客戶端不在NAT后,這樣的客戶端具有公網(wǎng)IP可以直接監(jiān)聽UDP端口接收數(shù)據(jù)進行通信(檢測停止)。否則客戶端在NAT后要做進一步的NAT類型檢測(繼續(xù))。

  第二步:檢測客戶端NAT是否是Full Cone NAT?

  客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器用另一對(IP-2,Port-2)響應(yīng)客戶端的請求往回發(fā)一個數(shù)據(jù)包,客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包,要設(shè)定socket Timeout(300ms),防止無限堵塞. 重復(fù)這個過程若干次。如果每次都超時,無法接受到服務(wù)器的回應(yīng),則說明客戶端的NAT不是一個Full Cone NAT,具體類型有待下一步檢測(繼續(xù))。如果能夠接受到服務(wù)器從(IP-2,Port-2)返回的應(yīng)答UDP包,則說明客戶端是一個Full Cone NAT,這樣的客戶端能夠進行UDP-P2P通信(檢測停止)。

  第三步:檢測客戶端NAT是否是Symmetric NAT?

  客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port, 客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包,要設(shè)定socket Timeout(300ms),防止無限堵塞. 重復(fù)這個過程直到收到回應(yīng)(一定能夠收到,因為第一步保證了這個客戶端可以進行UDP通信)。

  用同樣的方法用一個socket向服務(wù)器的 (IP-2,Port-2)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port。

  比較上面兩個過程從服務(wù)器返回的客戶端(IP,Port),如果兩個過程返回的(IP,Port)有一對不同則說明客戶端為Symmetric NAT,這樣的客戶端無法進行UDP-P2P通信(檢測停止)。否則是Restricted Cone NAT,是否為Port Restricted Cone NAT有待檢測(繼續(xù))。

  第四步:檢測客戶端NAT是否是Restricted Cone NAT還是Port Restricted Cone NAT?

  客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器用IP-1和一個不同于Port-1的端口發(fā)送一個UDP 數(shù)據(jù)包響應(yīng)客戶端, 客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包,要設(shè)定socket Timeout(300ms),防止無限堵塞. 重復(fù)這個過程若干次。如果每次都超時,無法接受到服務(wù)器的回應(yīng),則說明客戶端是一個Port Restricted Cone NAT,如果能夠收到服務(wù)器的響應(yīng)則說明客戶端是一個Restricted Cone NAT。以上兩種NAT都可以進行UDP-P2P通信。

  1.   /-"Full Cone NAT":/  
  2.  
  3.   iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 202.96.209.111  
  4.  
  5.   iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 192.168.1.1  
  6.  
  7.   /-"Port Restricted Cone NAT":/  
  8.  
  9.   iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 202.96.209.111  
  10.  
  11.   /-"Restricted Cone NAT":/  
  12.  
  13.   iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 202.96.209.111  
  14.  
  15.   iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 192.168.1.1  
  16.  
  17.   iptables -A FORWARD -d 202.96.209.111 -j ACCEPT  
  18.  
  19.   iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT  
  20.  
  21.   iptables -I FORWARD 1 -s 85.214.128.86 -j ACCEPT(加入對點IP,作弊型連通)  
  22.  

【編輯推薦】

Redhat下使用iptables實現(xiàn)NAT

Linux下iptables實現(xiàn)的nat服務(wù)

如何使用iptables來實現(xiàn)NAT

責任編輯:zhaolei 來源: sina
NATiptables
相關(guān)推薦

2021-12-22 09:34:01

Golagn配置方式

2015-04-02 16:54:52

災(zāi)難恢復(fù)VDI災(zāi)難恢復(fù)

2015-04-13 11:39:26

VDI災(zāi)難恢復(fù)

2011-03-15 14:26:23

iptablesNAT

2011-03-15 09:10:47

iptablesNAT

2010-08-05 09:33:08

Flex頁面跳轉(zhuǎn)

2025-01-16 00:00:00

MapStruct映射

2011-03-16 09:05:33

2015-03-19 15:13:20

PHP基本排序算法代碼實現(xiàn)

2022-01-12 11:02:01

云計算安全技術(shù)

2011-03-16 09:05:29

iptablesNAT

2011-03-16 09:05:32

RedhatiptablesNAT

2011-11-24 16:34:39

Java

2012-09-11 09:55:26

編程HTML5編程能力

2017-07-06 15:40:19

DevOps核心能力

2019-10-24 07:42:28

Java引用GC

2020-01-21 19:15:23

漏洞安全IT

2025-03-12 09:54:02

2021-06-17 14:46:50

框架jQuery開發(fā)

2024-11-07 11:17:50

點贊
收藏

51CTO技術(shù)棧公眾號