Nat类型

一、根据行为的NAT 类型分类

RFC 5780 NAT 行为主要从两方面进行分类:

  1. 地址相关映射行为(Address-dependent Mapping Behavior

1.       NAT 为通信的内部 IP 和外部服务器创建映射(私有地址到公共地址)时,是否依赖于外部服务器的 IP 地址。

  1. 地址相关过滤行为(Address-dependent Filtering Behavior

1.       外部主机是否能够通过 NAT 映射后的地址与内部设备通信,并且是否限制这种通信仅来自已通信过的外部主机。

这两种行为的不同组合,总共形成 9 NAT 类型

二、NAT 类型及其解析

针对 NAT 的映射行为和过滤行为的不同表现:

1. Endpoint-independent Mapping(与端点无关的映射)

  • 定义NAT 映射不依赖外部的目标地址(IP 地址或端口号),即不管内部设备连接哪个外部服务器,NAT 始终使用相同的映射。
  • 特点:这类似于 Full Cone NAT Restricted Cone NATSTUN 普遍支持它。

2. Address-dependent Mapping(地址相关映射)

  • 定义NAT 映射依赖外部目标地址 IP,即内部设备连接不同外部服务器时,对应的 NAT 映射也会有所不同。
  • 特点:安全性比 Endpoint-independent Mapping 更高,但通信自由度降低。

3. Address and Port-dependent Mapping(地址和端口相关映射)

  • 定义NAT 映射不仅依赖外部地址,还依赖目标服务器的端口号。对于同一个目服务器的不同端口,NAT 会为内部设备生成不同的映射。
  • 特点:与 Symmetric NAT 类似,穿透难度最大,需要 TURN 等中继方案。

针对 NAT 的过滤行为,分为以下三种类型:

1. Endpoint-independent Filtering(与端点无关的过滤)

  • 定义:外部主机只要知道 NAT 的公网地址(IP + 端口)即可向内部设备发送数据包。
  • 特点:过滤机制最宽松,类似于完全圆锥 NAT

2. Address-dependent Filtering(地址相关过滤)

  • 定义:仅允许那些已经建立过会话的外部主机发送数据包给 NAT 所创建的映射。
  • 特点:更严格的过滤行为,限制了不受信任外部设备的访问。

3. Address and Port-dependent Filtering(地址和端口相关过滤)

  • 定义:只有来自特定目标地址和端口号的外部主机才能访问 NAT 映射。
  • 特点:过滤行为最严格,安全性最高。

三、组合行为(9 NAT 类型)

通过映射行为过滤行为的组合,NAT 总共形成 9 种具体类型:

映射行为

过滤行为

NAT 类型描述

Endpoint-independent

Endpoint-independent

Full Cone NAT

Endpoint-independent

Address-dependent

Restricted Cone NAT

Endpoint-independent

Address and Port-dependent

Port Restricted Cone NAT

Address-dependent

Endpoint-independent

特殊类型(较少见)

Address-dependent

Address-dependent

常见安全 NAT

Address-dependent

Address and Port-dependent

Address and Port-restricted NAT

Address and Port-dependent

Endpoint-independent

特殊类型(几乎不存在)

Address and Port-dependent

Address-dependent

高安全 NAT

Address and Port-dependent

Address and Port-dependent

Symmetric NAT (对称 NAT,常见)

从使用角度来看:

  1. Full Cone NAT(完全圆锥 NAT

1.       最开放的 NAT 行为,通信最自由,P2P 协议支持最好。

2.       穿透最简单,但安全性较低。

  1. Symmetric NAT(对称 NAT

1.       最严格和动态的映射机制,安全性高。

2.       最不利于 NAT 穿透,需要 TURN 中继服务器协助通信。

  1. 其他中间类型

1.       大部分 NAT 则在这两端之间,具体表现为受限过滤和地址依赖映射策略,安全性和通信灵活性之间达到平衡。

四、RFC 5780 中检测 NAT 类型的方法

RFC 5780 建议通过扩展 STUNSession Traversal Utilities for NAT)协议 来检测 NAT 类型,具体方法包括以下几个步骤:

  1. 映射行为测试

1.       STUN 服务器发送测试请求,检测返回的外部地址。

2.       同时改变请求的目标地址或端口,观察 NAT 映射地址是否变化,从而判断 NAT 映射的行为:

      • 地址无关映射(Endpoint-independent Mapping:映射保持不变。
      • 地址相关映射(Address-dependent Mapping:映射随目标地址变化。
      • 端口相关映射(Address and Port-dependent Mapping:映射随目标地址和端口变化。
  1. 过滤行为测试

1.       通过 STUN 服务器不同 IP 和端口向 NAT 映射地址发送数据包,观察内部设备是否能接收到:

      • 地址无关过滤(Endpoint-independent Filtering:数据包可通过。
      • 地址相关过滤(Address-dependent Filtering:过滤未通信过的数据包。
      • 地址和端口相关过滤(Address and Port-dependent Filtering:过滤所有不同源地址或端口端数据包。

五、NAT 的应用场景及优化

  1. 互联网应用场景

1.       P2P 网络、视频通话、在线游戏等,需要 NAT 穿透技术解决 NAT 带来的通信障碍。

2.       采用标准 NAT 类型分类进行适配(如通过 STUN 检测并配置端口映射)。

  1. NAT 优化建议

1.       在苛刻的 NAT 类型(如 Symmetric NAT)下,可使用 TURN 中继服务器进行流量中转。

2.       启用 UPnP(通用即插即用)或 NAT-PMPNAT 端口映射协议)动态创建映射规则。

3.       对于有专用应用场景需求的网络,使用 Full Cone Endpoint-independent NAT 可以最大程度优化通信性能(如用于私有网络的实时通信)。

六、小结

基于 RFC 5780NAT 类型可以通过映射行为和过滤行为组合细化为 9 种具体类型。这种细分方式可以更加精准地描述 NAT 行为,尤其是帮助 STUNTURN ICE 等技术在实际网络环境中更高效地穿透 NAT

评论

发表评论

此博客中的热门博文

gemini转发国内的部署教程

图片
 最近看到了这个项目 tech-shrimp/gemini-balance-lite: Gemini API 代理, 把Gemini API免费中转到国内。还可以聚合多个Gemini API Key,随机选取API Key的使用实现负载均衡,使得Gemini API免费成倍增加。 今天来演示一下搭建过程 1.点击deploy 2.输入项目名后点击creat 此时就会开始部署,等待一会 3.中转部署完成后,此时分配的域名并不能访问,所以要添加自定义域名 点击下方的黑色按钮,按照下方图片操作 点击Add domain 输入自己域名,没有自己注册一个 dpdns 再去把域名绑定到cloudflare 再输入域名后,会提示输入两个记录 输入域名服务商的dns解析即可 输入完成后点击refresh,域名前打上一个勾说明配置成功 在浏览器输入域名能正确输出结果proxy running就可以了 4.api获取 进入 aistudio 点击get api 创建api密钥复制即可 5.客户端使用 下载 cherry studio 点击左下角设置-模型服务-添加 随便输入一个名字 提供商openai或gemini二选一 api输入刚才复制的api 地址输入刚才的域名 添加一个模型,例如: gemini-2.5-pro gemini-2.0-flash-exp 然后点击测试,成功就说明可以使用,没成功把上述操作重新看一遍 之后cherry studio的设置就要自己摸索 完✌
Read more »

深度解析:Xray 核心技术 REALITY、Vision、xhttp 与 anytls 的协同工作原理

图片
  如果你正在探索更深层次的网络代理技术,你很可能听说过 Xray-core 以及其强大的 REALITY 协议。但围绕着它,总会伴随着 Vision、xhttp、anytls 这些名词。它们之间究竟是什么关系?各自扮演什么角色?我们能否将它们集成在一个节点上,打造终极伪装? 今天,我们就来一次性说清楚。 核心观点:它们不是“四兄弟”,而是一个“精英团队” 首先,我们需要明确一个关键点:xhttp、REALITY、Vision 和 anytls 并不是四个独立并列的技术。它们是开源代理软件 Xray-core 中的技术组件,可以(也常常)被配置在一个节点中协同工作,共同构建出一个高度伪装、难以被识别的安全代理服务。 可以集成吗?   当然可以!  一个典型的、强大的 Xray 高级配置方案,正是将 REALITY、Vision 和 xhttp 完美地集成在一起。而 anytls,则是实现这一切的底层基石。 团队成员解析:每个技术负责什么? 为了更好地理解,让我们把建立一次安全的代理连接想象成一次需要通过严格安检的“秘密潜入”行动。 1. REALITY:你的“通行证”与“目的地伪装” 角色 :连接建立与身份伪装的核心协议。 工作原理 :REALITY 是整个方案的灵魂。它的革命性之处在于“借用”一个真实、知名网站(如  www.apple.com )的 TLS 证书来完成握手。当你连接代理服务器时,在防火墙看来,你的行为和正常访问苹果官网的流量一模一样。由于目标是真实存在的、信誉良好的网站,防火墙很难将这种流量识别为代理。 潜入比喻 :你拿着一张看起来是发给“苹果公司员工”的通行证(借用其 TLS 证书),并告诉安检员你的目的地是“苹果总部”(目标服务器伪装)。安检员检查通行证,发现一切合法,便予以放行。 2. Vision:你的“行为举止” 角色 :数据流的行为伪装与流量控制。 工作原理 :Vision 是一种与 REALITY 配合使用的流控(flow control)机制。在你通过“安检”后,Vision 负责精细地控制数据包的大小、发送节奏和填充(Padding),使其在行为上无限接近于一个普通浏览器(如 Chrome)产生的 HTTPS 流量。没有 Vision,你的数据流虽然身份合法,但“行为举止”可能会很机械,依...
Read more »

移动 IP 技术:如何在不同网络间无缝切换?

  引言 在当今移动互联网时代,我们习惯了随时随地保持网络连接。无论是乘坐高铁从一个城市到另一个城市,还是在家中、办公室、咖啡店之间切换,我们的手机和智能设备似乎都能保持网络畅通。这种无缝的网络体验背后,离不开一项关键技术——移动IP技术。移动IP技术让设备在不同网络间移动时能够保持连接的连续性,就像我们搬家时不会失去家庭地址一样,我们的设备在移动过程中也能保持"网络地址"的稳定性 8 。 传统IP技术的局限性 传统的IP协议设计之初主要针对固定网络环境。在传统的互联网架构中,每个设备都有一个固定的IP地址,这个地址标识了设备在网络中的位置。当设备需要与其他设备通信时,通信双方都需要知道对方的IP地址 8 。这种设计在固定网络中运行良好,但在移动场景下却面临诸多挑战。 当移动设备从一个网络切换到另一个网络时,由于IP地址的变化,原有的通信连接会被中断。例如,当你的手机从一个基站切换到另一个基站时,运营商需要为你分配新的IP地址,这就像换了个"网络服务站" 3 。这种IP地址的变化会导致正在进行的通话、下载或其他网络应用中断,严重影响用户体验。 移动IP技术的基本原理 移动IP技术正是为了解决上述问题而设计的。其核心思想是为移动设备分配两个IP地址: 家乡地址(Home Address) 和 转交地址(Care-of Address) 6 。 家乡地址 是移动设备永久不变的IP地址,就像公民的身份证号码一样,即使在设备移动过程中也不会改变。 转交地址 是移动设备当前所在网络的临时IP地址,当设备移动到新的网络时会发生变化。 移动IP技术通过 家乡代理(Home Agent) 和 外地代理(Foreign Agent) 两个关键组件来实现无缝切换 6 。家乡代理位于移动设备的家乡网络中,负责维护移动设备的位置信息;外地代理则位于移动设备当前访问的外地网络中,负责将发往移动家乡地址的数据包转发到其当前位置。 移动IP的关键技术组件 1. 家乡代理(Home Agent) 家乡代理是移动IP技术中的核心组件之一。它位于移动设备的家乡网络中,主要职责包括: 维护移动设备的位置信息,记录其当前的转交地址 截发发往移动设备家乡地址的数据包 将数据包通过隧道技术转发到移动设备的当前位置 处理移动设备的位置更新请求 2. 外地代理(Forei...
Read more »