什么是严格,适度和开放的NAT?

12

家用路由器上的NAT选项通常配置为严格。这是什么意思?怎么办中等开放办?严格来说,端口转发/ DMZ访问正常工作,那么为什么还要麻烦其他两个呢?

从路由器上看,这可能会影响防火墙。当花费大量时间使用Cisco / iptables保护网络安全时,这种a昧的,非描述性的答案只不过是令人发指的,并且没有任何线索表明这会对防火墙产生什么影响。

请有人能阐明一下。

router  nat  open 
金属鲨
source
一些品牌\型号会有所帮助,问题似乎更针对超级用户市场。您是否打算将其用于某些业务目的,似乎更可能是超级用户类型的问题?
赫尔维克,2010年
1
抱歉,但我相信这些术语是消费者游戏系统最常用的,而系统管理员则不常用。也许您应该问微软,他们愚蠢的术语到底意味着什么。 support.microsoft.com/kb/908880
Zoredache 2010年
在当前情况下是NetGEAR WNDR3700,但是Drayteks(由许多SoHo和陈列室办公室使用)也具有相同的选择。我只想知道发生故障时需要进行调查的每个选项的作用。特别是这一点似乎在各个模型中越来越普遍。尽管如果最好在SuperUser上询问,我会改在那儿尝试。
Metalshark,2010年

Answers:

31

首先重要的是要了解网络地址转换(NAT)的工作方式。您建立与Internet上服务器的连接。实际上,您将数据包发送到路由器,从计算机上通过一些随机选择的端口发送出去:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o====>o           |
|            |     |           |
+------------+     +-----------+

路由器继而建立与您要交谈的服务器的连接。它说出它是自己随机选择的端口:

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o====>o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

当google的网络服务器向您发送回信息时,它实际上是将其发送回您的路由器(因为您的路由器实际上是互联网上的家伙): 

                     Router            www.google.com
                   +-----------+     +----------------+
                   |           |     |                |
                   | port 21283o<====o port 80        |
                   |           |     |                |
                   +-----------+     +----------------+

数据包21283从的端口到达路由器www.google.com。路由器应如何处理?

在这种情况下,路由器会保留您的记录以及代表您www.google.com:80从端口发送到其的流量21283。因此,路由器会将数据包中继到您的计算机:

Your computer        Router
+------------+     +-----------+
|            |     |           |
| port 31746 o<====o           |
|            |     |           |
+------------+     +-----------+

开放式NAT

开放式 NAT中,Internet上的任何计算机都可以将流量发送到路由器的端口21283,并且数据包将被发送回给您:

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     {www.google.com:443
| port 31746 o<====o port 21283o<===={serverfault.com:80
|            |     |           |     {fbi.gov:32188
+------------+     +-----------+     {botnet.cn:11288

封闭式NAT

封闭的nat更具限制性。除非来自您想与之交谈的原始地址端口,否则它将不允许任何东西进入,即www.googleport 80

Your computer        Router            
+------------+     +-----------+     {www.google.com:80
|            |     |           |     | (rejected) www.google.com:443
| port 31746 o<====o port 21283o<====+ (rejected) serverfault.com:80
|            |     |           |       (rejected) fbi.gov:32188
+------------+     +-----------+       (rejected) botnet.cn:11288

适中的NAT

中度NAT是一种混合,您的路由器将接受来自任何端口的任何流量,但只能来自同一主机

Your computer        Router            
+------------+     +-----------+     
|            |     |           |     {www.google.com:80
| port 31746 o<====o port 21283o<===={www.google.com:443
|            |     |           |       (rejected) serverfault.com:80
+------------+     +-----------+       (rejected) fbi.gov:32188
                                       (rejected) botnet.cn:11288

那是一组定义。另一个是:

  • 打开:允许局域网上的计算机使用UPNP打开端口
  • 中:已创建一些端口转发并正在运行
  • 已关闭:不存在静态端口转发

但是该术语确实是模糊的。

也可以看看

伊恩·博伊德(Ian Boyd)
source
1
很好的解释。那只是NAT的一种,被称为PAT(端口地址转换)
J.Money
“只从同一主机” -仅在同一主机的什么
英国电信
@BT“只能从同一主机的东西 ” -作为东道主,我们在跟谁说话。(例如google.com)
伊恩·博伊德
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.