樟木头东莞网站建设,在哪里查公司名字有没有注册,市场营销策略,优秀的版式设计网站7.1 引言
NAT通常改变源IP和源端口#xff0c;不改变目的IP和目的端口。
7.2 防火墙
常用防火墙#xff1a; 包过滤防火墙#xff08;packet-filter firewall#xff09; 代理防火墙#xff08;proxy firewall#xff09; 代理防火墙作用#xff1a; 1. 通过代理服务…7.1 引言
NAT通常改变源IP和源端口不改变目的IP和目的端口。
7.2 防火墙
常用防火墙 包过滤防火墙packet-filter firewall 代理防火墙proxy firewall 代理防火墙作用 1. 通过代理服务来代替内网的终端与外网通信。 2. 进行数据包分析实现ACL访问控制。
7.2.1 包过滤防火墙
包过滤防火墙分为 无状态防火墙单独处理每一个数据包。 有状态防火墙 记录所有经过报文的连接状态。包括源IP、目标IP、端口号、连接状态如TCP、分片信息等。 检测这些状态信息来判断是否允许通过。
7.2.2 代理防火墙
本质是应用层网关ALG。
作用通过代理防火墙实现监控流量访问控制日志记录等。 常见代理防火墙 HTTP代理防火墙。 SOCKS代理防火墙。 HTTP代理防火墙 外网客户端通过HTTP代理防火墙访问内网Web资源不直接与Web服务器通信。 Web代理还提供Web缓存功能降低访问延迟。 SOCKS代理防火墙 SOCKSSocket Secure 优点在客户端与服务器之间建立安全的、匿名的连接。 比HTTP代理更灵活SOCKS能代理几乎所有流量。 支持认证如用户名/密码认证。未经授权用户无法使用代理。
7.3 网络地址转换
即NAT。
如果应用层载荷内有IP地址或端口信息此时NAT转换比较麻烦如FTPSIP协议。这需要ALG解决。 FTP和SIP数据连接需要使用动态端口ALG可解决端口映射问题。 鼓励开发NAT友好的应用协议。 NAPT网络地址端口转换即IP源地址源端口一起转换。
TCP三次握手时当收到首次SYN包就生成NAT映射表。收到第三次FIN的ACK后删除NAT映射表。
7.3.1 传统NAT基本NAT和NAPT
基本NAT只重写IP地址但没有减少IP地址需求。
NAPT使用IP地址传输层标识符一起转换。 传输层标识如TCP端口UDP端口ICMP查询标识符。 ICMP查询标识符用于匹配ICMP请求和响应。 NAT与TCP: 路由器收到内网发送的SYN报文时对SYN报文进行NAT转换并建立NAT映射表。 路由器收到FIN报文时删除NAT映射表。 NAT和UDP 收到第一个UDP报文时对报文进行NAT转换并建立NAT映射表。 当数据包从内网传输到外网经过NAT就刷新NAT映射表。超时未刷新就清除NAT映射条目。 难点除了第一个分片其他分片没有端口信息所以需要NAT特殊处理甚至虚拟重组分片。 所以IP分片和IP不分片在穿越NAT时吞吐速率有较大差距。显然不分片速率更高。 而TCP分段后每个TCP段都包含TCP头部其中包含源目端口信息因此NAT通常不需要重组TCP分段。CPU负荷小。 NAT和SCTP
NAT和ICMP ICMP有两类报文信息类出错类。 出错类包含引起错误的IP数据包副本当ICMP出错报文通过NAT时可根据实际需要是否改写出错报文中IP地址。 信息类大多数报文类型是查询/响应或C/S模型使用IP地址ICMP查询ID共同建立映射。 总结ICMP报文在NAT转换时会结合ICMP报文中源目IP地址ICMP序列号ICMP查询ID等信息来建立NAT映射表以区分内网不同主机。 NAT和隧道数据包 如果隧道数据需要进行NATNAT不仅修改IP包头还需修改隧道内部包头和载荷。 如果有更多层的隧道封装NAT工作更复杂。 NAT和组播 NAT也可支持组播少见用IGMP代理来增强NAT到外部数据目的IP地址和端口不会被修改。 NAT和IPv6 坚决抵制在IPv6中使用NAT。
7.3.2 地址和端口转换行为
NAT地址池有几个可用的外部IP地址可供NAT转换。
7.3.3 过滤行为
若没有建立NAT映射就无法转发从外网到内网的流量。
只有内部主机主动向外网发送了报文创建了映射才允许外网传入的流量。
这起到一定过滤效果。
7.3.4 位于NAT之后的服务器
从外网经NAT访问内网服务器时需要主动在NAT路由器上做端口映射/端口转发。
7.3.5 NAT夹发和NAT环回
目前网络需求多样化我们应当结合实际网络需求定制NAT配置。
而NAT环回和NAT夹发只是两种典型NAT配置一般通常用iptables实现。 NAT环回举例 1. 当内网主机A访问NAT设备公网IP地址时NAT设备将请求转发给主机B。这样主机A可访问主机B的服务。 2. 内网主机访问NAT设备公网IP地址时NAT设备将流量转发回到NAT路由器本身以便内部主机访问路由器web服务。 NAT夹发举例 内网主机访问NAT设备公网IP地址时NAT设备将流量转发到外网而返回给内部主机或NAT路由器。
7.3.6 NAT编辑器
当应用层协议包含端口IP地址等低层信息时NAT会变得复杂。如SIP协议P2PBitTorrent。 NAT编辑器 不仅改写IP头的IP地址和TCP/UDP头中的端口号还修改应用层载荷中包含的IP端口信息。 如果NAT改变了包的应用载荷大小还更改序列号。
7.3.7 服务提供者NAT和服务提供者IPv6转换
服务提供者NAT将NAT从客户端移动到ISP端。
7.4 NAT穿越
NAT穿透解决的问题 因为源IP被NAT转换导致内网主机IP对外网不可见造成通信障碍。 对等P2P网络因为NAT设备限制无法直接通信。 NAT设备导致实时通信应用连接不稳定或高延迟。 NAT设备导致VPN连接失败。 NAT穿越技术常见方法后续会详细介绍 STUNSTUN客户端向STUN服务器请求NAT后公网IP和端口并确定NAT类型。 TURNTURN服务器作为中间人帮助两个客户端建立直接连接并转发数据流量。 ICE一种综合NAT穿越技术结合STUN、TURN和其他协议。通过候选地址、检测网络类型和可用的传输协议等方式寻找最佳通信路径实现NAT穿越。 UPnP向NAT路由器请求打开或关闭某端口路由器对该端口报文不进行NAT转换以允许设备直接通信。
7.4.1 针孔和打孔
针孔 含义NAT设备的一种工作模式。即NAT在转发数据时临时打开的端口或临时建立的NAT地址映射。 作用仅允许特定数据流穿过NAT设备而不是简单将所有数据流都转发到内网。 打孔工作原理 NAT设备根据特定规则识别需打孔数据流。规则通常基于源IP地址、目标IP、端口等。 当内网主机向外网发送数据时NAT设备动态为此数据流创建一个NAT映射并NAT转换该数据流。 NAT设备只允许与该映射相关数据通过而拒绝未授权数据通过。 一旦数据流完成或超时动态映射将自动删除防止潜在安全威胁。 打洞 含义一种网络穿透技术。用于两个不同私网主机之间直接通信而不需要中间服务器转发。 打洞流程举例 寻找公共节点两个不同私网主机先尝试连接到一个公共服务器。 交换信息当两个主机通过公共服务器交换各自私有IP和端口等信息。 建立映射它们会向各自NAT设备发送数据使NAT设备为这些数据包创建映射并允许从外网中 的对等方直接发送数据包到对应私有IP和端口。 保持连接一旦NAT映射建立成功两个主机就以通过各自NAT设备直接建立通信连接而不需经过中间服务器转发。
7.4.2 单边的自地址确定
自地址确定内网主机使用一系列方法得到其NAT公网IP。
单边的自地址确定不需要外部服务器或其他设备帮助即可确定内网主机NAT转换后的公网IP。
7.4.3 NAT的会话穿越工具
NAT穿越在NAT环境中使不同私网主机直接建立通信而不需要中间服务器转发。 STUNSession Traversal Utilities for NAT 应用层C/S协议用于确定内网经过NAT设备转换后的公网IP和端口并通过心跳信息维持当前NAT绑定。 STUN功能包括 发现NAT类型内网STUN客户端向STUN服务器发送请求以确定客户端网络NAT类型。有助于应用程序根据不同NAT类型采取相应策略。 获取公网IP地址和端口客户端向STUN服务器发送请求以获得公网IP和端口。 维持NAT映射客户端定期向STUN服务器发送请求使设备保持NAT映射关系避免因为NAT映射超时导致通信中断。 STUN使用场景对等网络P2P和实时应用。 STUN客户端和STUN服务器之间含有多个NAT设备时不适合使用STUN而是使用TURN。 STUN应用层协议可通过UDP、TCP封装。 使用互联网已知STUN服务器足够。 Linux上stun相关实现 libstun pjnathC语言编写的网络穿透库包括了STUN、TURN和ICE等功能。
7.4.4 利用NAT中继的穿越
TURNTraversal Using Relays around NAT
适用场景如两个内网设备位于不同NAT设备后无法直接建立对等P2P连接可通过使用TURN中继服务器中转数据流。 TURN服务器位于公网的服务器充当中继。两个内网设备都将数据发到TURN服务器TURN服务器转发给对方设备。 缺点TURN服务器虽然解决了NAT穿越问题但增加了网络延迟。 STUN和TURN对比 STUN用于发现NAT后的公网IP和NAT类型帮助建立对等P2P连接不提供中继服务。 TURN 当直接对等连接无法建立时通过TURN中继服务器中转数据流。
7.4.5 交互连接建立
ICE是STUN和TURN的结合当STUN建立P2P连接失败时使用TURN。
7.5 配置包过滤防火墙和NAT
7.5.1防火墙规则
每个规则包含匹配条件动作action
匹配条件报文的字段源目IP、源目端口、ICMP类型方向direction iptables支持无状态包过滤有状态包过滤NATNAPT 有状态包过滤基于连接状态进行过滤可检查包的状态如NEW、ESTABLISHED、RELATED、INVALID来确定是否允许或拒绝包通过。 举例允许建立新连接的数据包 iptables -A INPUT -m state --state NEW -j ACCEPT iptables动作targetaction可用于执行用户自定义链或标准ACCEPTDROPQUEUERETURN QUEUE将数据包提交给一个用户程序处理。 iptables -A INPUT -j NFQUEUE --queue-num 23 应用进程通过libnetfilter_queue库函数读取queue-num 23的报文即可。 RETURN回到之前的链中继续。
7.5.2 NAT 规则
Windows中NAT互联网连接共享Internet Connection Sharing, ICS
Linux中NAT实现 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE masquerade伪装NAT转换会自动使用eth1的IP作为源IP。
7.5.3 与NAT和防火墙的直接交互UPnP、NAT-PMP和PCP
NAT-PMPNAT端口映射协议。 UPnP通用即插即用。
UPnP作用 动态创建端口映射允许从Internet访问局域网内的服务器。 设备自动发现、设备描述操作指令。比如手机远程控制空调。 Linux实现 MiniUPnP开源软件包。
7.6 IPv4/IPv6共存和过渡中的NAT
7.7 与防火墙和NAT相关的攻击
当一个IP数据报被分片时只有第一个分片包含端口而其他分片没有。
因为许多老式防火墙没有能力处理IP分片。 解决方法找到第一个分片如果有的话这需要一个有状态防火墙但可能会资源耗尽攻击。
7.8 总结
代理防火墙一种应用层网关ALG。每个应用都需要在防火墙上有自己的代理处理程序以便修改其中载荷。 对于NAT后的内网服务器需在NAT上主动配置端口转发以允许外网流量的主动访问。 路由器收到报文后一般先路由表查找再NAT。
如果先NAT后查找路由表后果 路由表查找不准确。 连接追踪可能无法正确识别或跟踪连接的状态。 安全问题未授权报文可能被错误转发到网络中。
