Nat穿透方法分析

1、nat穿透方法分析一、nat分类静态 nat (static nat)内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址 nat (pooled nat)在外部网络屮定义了一系列的合法地址，采用动态分配的方法映射到内部网 络。网络地址端口转换napt (port-level nat)把内部地址映射到外部网络的一个ip地址的不同端口上。二、基木nat分类(1) full cone nat(完全圆锥型)nat会将客户机地址x:y转换成公网地址a:b并绑定任何包都可以 通过地址a: b送到客户主机的x: y地址上(2) address restricted cone nat(地

2、址限制圆锥型)nat会将客户机地址x:y转换成公网地址a:b并绑定只有来自主机 p的包才能和主机x:y通信(3) port restricted cone nat(端口限制圆锥型)nat会将客户机地址x:y转换成公网地址a:b并绑定只有来自主机 p, q的包才能和主机x: y通信(4) symmetric nat(对称型)nat会将客户机地址x:y转换成公网地址a:b并绑定为 x:y | a:b<->p:q nat 只接受来自p:q的 incoming packet,将它转给 x:y每次客户机请求一个不同的公网地址和端口，nat会新分配一个端口 号c, d三、nat穿透方法分析a机

3、器在私网(192. 16&0.4)a 侧 nat 服务器(210. 21. 12. 140)b机器在另一个私网(192.168. 0.5)b 侧 nat 服务器(210. 15. 27. 140)c机器在公网(210. 15.27. 166)作为a和b之间的屮介a机器连接过c机器，假使是a (192. 168. 0.4:5000) -> a侧nat (转换后 210.21. 12. 140:8000) -> c (210. 15.27. 166:2000)b机器也连接过c机器，假使是b (192. 168. 0.5:5000) -> b侧nat (转换后 210. 1

4、5. 27. 140:8000) -> c (210. 15. 27. 166:2000)a机器连接过c机器后,a向c报告了自己的内部地址(192. 168.0.4:5000),此 时c不仅知道了a的外部地址(c通过自己看到的210.21.12. 140:8000)>也知道了 a的内部地址。同理c也 知道了 b的外部地址(210. 15. 27. 140:8000)和内部地址(192.168.0.5:5000)。之后,c作为中介,把a的两个地址告诉了 b, 同时也把b的两个地址告诉了 ao假设a先知道了 b的两个地址，则a从192. 168. 0.4:5000处同时向b的两个地 址

5、 192. 168. 0. 5:5000 和 210. 15. 27. 140:8000 发包,出于a和b在两个不同的nat后面，故从a (192. 16& 0.4:5000)到b(192. 168.0.5:5000)的包肯定不通,现在看a (192. 168. 0.4:5000)到 b (210. 15. 27. 140:8000)的包，分如下两种情况:1、b 侧 nat 属于 full cone nat则无论a侧nat屈于cone nat还是symmetric nat,包都能顺利到达bo如果p2p程序设计得好，使得b主动到a的包也能借用a主动发起建立的通道的话,则即使a侧nat属t

6、 symmetric nat, b发出的包 也能顺利到达a。结论1：只要单侧nat属于full cone nat,即可实现双向通信。2 b 侧 nat 属;j * restricted cone 或 port restricted cone则包不能到达b。再细分两种情况(1) 、a 侧 nat 属于 restricted cone 或 port restri cted cone虽然先前那个初始包不曾到达b,但该发包过程已经在a侧nat上留卜了足够的 记录：a (192. 168.0. 4:5000) -> (210. 21. 12. 140:8000) ->b (210. 15.

7、27. 140:8000)。 如果在这个记录没有超时之前，b也重复和a样的动作,即向a (210.21. 12. 140:8000)发包，虽然a侧nat 属于 restricted cone 或 port restricted cone,但先前a侧nat已经认为a已经向b (210. 15. 27. 140:8000)发过包，故b向a (210.21. 12. 140:8000)发包能够顺利到达a。同理，此后a到b的包，也能顺利到达。结论2：只要两侧nat都不属于symmetric nat,也可双向通信。换种说法,只 要两侧nat都属于cone nat,即可双向通信。(2) 、a 侧 nat

8、属于 symmetric nat因为a侧nat属于symmetric nat,冃最初a到c发包的过程在a侧nat留下了 如下记录：a (192. 168. 0.4:5000) -> (210.21. 12. 140:8000) -> c (210. 15.27. 166:2000), 故a到b发包过程在a侧nat上留下的记录为：a (192. 168.0.4:5000) -> (210. 21. 12. 140:8001) ->b (210. 15. 27. 140:8000) (注意，转换后端口产生了变化)。而b向a的发包，只能根据c给他的关于a的信息，发往ac210

9、.21. 12. 140:8000), 因为a端口受限，故此路不通。再来看b侧nat,曲于b也向a发过了包，且b侧nat属于restricted cone或 port restricted cone,故在b侧nat上留下的记录为:b (192. 168.0.5:5000) -> (210. 15. 27. 140:8000) ->a (210.21. 12. 140:8000), 此后，如果a还继续向b发包的话(因为同*目标,故仍然使用前面的映射)，如果b侧nat属于restricted cone, 则从a (210.21. 12. 140:8001)来的包能够顺利到达b；如果b侧

10、nat属于port restricted cone,则包永远无法到达b。结论 3： 一侧 nat 属于 symmetric nat,另一侧 nat 属于 restricted cone,也 可双向通信。显然，还可得出另一个不幸的结论4,两个都是symmetric nat或者一个是 symmetric nat、另一个是 port restricted cone,则不能双向通信。上面的例子虽然只是分析了最初发包是从a到b的情况，但是，鉴于两者的对称 性，并且如果p2p程序设计得足够科学，则前面得出的儿条结论都是没有方向性，双向都适用的。通过上述分析，我们得知，在穿越nat方面,symmetric nat和port restricted cone是有木质区别的，尽管他们表面上看起来和似。我们上面得出了四条结论，而n