Linux--NAT,代理服务,内网穿透

news2024/11/15 8:41:41

目录

1.NAT 技术

NAT IP转换过程

2. NAPT(NAT转化表)

NAT 技术的缺陷

3.内网穿透&&内网打洞 

内网穿透

内网打洞

两者差别

 4.代理服务器

正向代理

反向代理

NAT 和代理服务器


1.NAT 技术

之前我们讨论了, IPv4 协议中, IP 地址数量不充足的问题
NAT 技术当前解决 IP 地址不够用的主要手段, 是路由器的一个重要功能;

  • NAT 能够将私有 IP 对外通信时转为全局 IP. 也就是就是一种将私有 IP 和全局IP 相互转化的技术方法:
  • 很多学校, 家庭, 公司内部采用每个终端设置私有 IP, 而在路由器或必要的服务器上设置全局 IP;
  • 全局 IP 要求唯一, 但是私有 IP 不需要; 在不同的局域网中出现相同的私有 IP是完全不影响的;

NAT IP转换过程

  • 子网内的主机需要和外网进行通信时, 路由器将 IP 首部中的 IP 地址进行替换(替换成 WAN 口 IP), 这样逐级替换, 最终数据包中的 IP 地址成为一个公网 IP. 这种技术称为 NAT(Network Address Translation, 网络地址转换).
  • NAT技术例子:每台主机都有自己网络层,每台主机也知道自己的子网IP,(以上图为例)比如主机(src)IP:192.168.1.201 要向IP(dst):122.77.241.3的主机发送消息。该主机会通过CIDR得到网络号:122.77.241.0,发现不是自己网段的,这时就会交给家用路由器处理,家用路由器也有自己WAN口IP,路由器直连的网络号为:10.1.1.0,这是运营商构建的子网,家用路由器会将srcIP,替换成为自己的WAN口IP(NAT),家用路由器交给运营商路由器,运营商发现dstIP不属于自己构建的子网,只能将该报文交给出入口路由器接入公网,此时路由器会进一步将srcIP替换成自己的WAN口IP(NAT),直接通过公网交给目标服务器。这样目标服务器有了出入口路由器的公网IP,就能顺利的应答了。

• NAT 路由器将源地址从 10.0.0.10 替换成全局的 IP 202.244.174.37;
• NAT 路由器收到外部的数据时, 又会把目标 IP 从 202.244.174.37 替换回10.0.0.10;
• 在 NAT 路由器内部, 有一张自动生成的, 用于地址转换的表;
• 当 10.0.0.10 第一次向 163.221.120.9 发送数据时就会生成表中的映射关系;
 


2. NAPT(NAT转化表)

        那么问题来了, 如果局域网内, 有多个主机都访问同一个外网服务器, 那么对于服务器返
回的数据中, 目的 IP 都是相同的. 那么 NAT 路由器如何判定将这个数据包转发给哪个局域网的主机?
        这时候 NAPT 来解决这个问题了. 使用 IP+port 来建立这个关联关系

        左侧是发送主机的源IP:端口和目标主机的IP:端口,右侧则是转换过后的。左侧在内网中唯一的,右侧则是在公网中唯一,那么左侧和右侧是互为键值的,服务器做应答的时候就可以反向查表,发送给内网中的主机。

        而且同一个网段的两个主机访问同一个服务器时,NAT不仅会转换IP还会变换端口,以确保NAPT映射的唯一性

        种关联关系也是由 NAT 路由器自动维护的. 例如在 TCP 的情况下, 建立连接时, 就会
生成这个表项; 在断开连接后, 就会删除这个表项

NAT 技术的缺陷

由于 NAT 依赖这个转换表, 所以有诸多限制:
• 无法从 NAT 外部向内部服务器建立连接;
• 装换表的生成和销毁都需要额外开销;
• 通信过程中一旦 NAT 设备异常, 即使存在热备, 所有的 TCP 连接也都会断开;
 

3.内网穿透&&内网打洞 

内网穿透

        假设某公司的员工小李需要在家远程工作,但他需要访问公司内部网络中的文件服务器以获取工作所需的文档和资料。然而,由于公司的文件服务器位于内部网络中,并没有直接暴露给外部网络,因此小李无法直接从家中访问。

        

  1. 设置中转服务器
    • 公司需要有一个具有公网IP地址的中转服务器,这个服务器将作为内外网通信的桥梁。
    • 在中转服务器上安装并配置内网穿透软件,如FRP(Fast Reverse Proxy)等。
  2. 配置内网穿透
    • 在公司内部文件服务器上配置FRP客户端(frpc),设置其连接到中转服务器的公网IP和端口。
    • 在中转服务器上配置FRP服务端(frps),并设置相应的鉴权信息(如token),以确保连接的安全性。
    • 配置完成后,文件服务器上的frpc会向中转服务器的frps注册其内网地址和端口信息。
  3. 远程访问
    • 小李在家中使用远程访问工具(如SSH、RDP等),通过中转服务器的公网IP和端口进行连接。
    • 由于内网穿透已经建立了从外部到内部网络的隧道,因此小李的请求会被转发到公司内部的文件服务器上。
    • 文件服务器接收到请求后,处理请求并返回结果,结果同样通过内网穿透隧道返回给小李。

        内网穿透的核心原理在于将外网 IP 地址与内网 IP 地址建立联系,市面上常用的如花生壳工具其核心原理就是依靠一台具有公网 IP 的服务器作为请求的中转站以此来达到从公网访问内网主机的目的。

        在公司内服务器部署了一个登录服务,端口22,此时我也在中转服务器上也部署了一个服务端口8888,只不过小李访问服务器的xxx:8888服务,服务器会直接寻找并启动公司内部的shh:22的登录服务。也就是从小李所在的内网通过服务器中穿透到了公司的内网,这就是所谓的内网穿透。

内网打洞

        内网打洞主要依赖于NAT技术,但通常需要通过某种方式绕过NAT的限制,使得外网设备能够访问到内网中的资源。

  1. 利用UDP协议的无连接特性:UDP协议是面向消息的无连接传输协议,相对于TCP协议,它不需要建立连接,因此打洞时对硬件资源消耗小,是内网穿透的首选协议。
  2. 中间服务器协助:内网设备通过中间服务器(如具有公网IP的服务器)进行注册和通信。中间服务器协助内网设备之间建立连接,实现数据的转发和交换。
  3. NAT映射和打洞:内网设备通过发送特定的数据包(如打洞包)到外网,以触发NAT设备建立映射表项。这样,当外网设备向该内网设备发送数据包时,NAT设备能够识别并将其转发给正确的内网设备。

举个例子:

        因为客户端向服务器发送消息的时候,服务器会记录客户端的IP和port,服务器也可以将自己的IP和端口发送给客户端。那么如果两个客户端都向服务器发消息,服务求就可以分别记录两个客户端的IP和端口号(这是经过NAT转换过的,在运营商服务器中建立NATP,最终可以找到自己的主机),因为服务器可以向对应的客户端发消息,此时又拿到了两个客户端的信息,那么服务器是否能作为中转站将两个客户端的IP和port,分别发给对方,那么两个客户端就都知道对方的IP和port了(这是经过NAT转换过的,在运营商服务器中建立NATP,最终可以找到自己的主机),那么两个客户端进行通信,就不需要经过服务器了。比如主机A向B发消息,A的消息首先交给自己的运行商服务器,然后通过自己的运营商服务器交给对方的运营商服务器,再交给主机B。这就是P2P通信。

两者差别

  • 内网穿透
    • 通常需要借助一个具有公网IP的中间服务器(如VPN服务器、FRP服务器等),内网设备通过该服务器与外网进行通信。
    • 数据传输过程中,内网数据被封装在隧道中,通过中间服务器转发到外网目标设备。
  • 内网打洞
    • 主要利用UDP协议的无连接特性,通过发送特定的数据包(如打洞包)来触发NAT设备建立映射表项。
    • 一旦NAT映射建立成功,内网设备就可以直接与外网设备进行通信,无需经过中间服务器转发。
  • 内网穿透
    • 广泛应用于远程办公、数据共享、视频监控等多种场景。
    • 适用于需要稳定、可靠且安全的远程访问需求的场景。
  • 内网打洞
    • 同样适用于需要内网设备与外网通信的场景,但更侧重于轻量级、快速建立连接的需求。
    • 例如,在P2P网络中,内网打洞技术可以帮助节点之间快速建立连接,实现数据的直接交换。

 4.代理服务器

正向代理

        正向代理(Forward Proxy) 是一种常见的网络代理方式, 它位于客户端和目标服务器之间, 代表客户端向目标服务器发送请求。 正向代理服务器接收客户端的请求, 然后将请求转发给目标服务器, 最后将目标服务器的响应返回给客户端。 通过这种方式, 正向代理可以实现多种功能, 如提高访问速度、 隐藏客户端身份、 实施访问控制等。

工作原理

  • 客户端将请求发送给正向代理服务器。
  • 正向代理服务器接收请求, 并根据配置进行处理, 如缓存查找、 内容过滤等。
  • 正向代理服务器将处理后的请求转发给目标服务器。
  • 目标服务器处理请求, 并将响应返回给正向代理服务器。
  • 正向代理服务器将响应返回给客户端。

功能特点

  • 缓存功能: 正向代理服务器可以缓存经常访问的资源, 当客户端再次请求这些资源时, 可以直接从缓存中获取, 提高访问速度。
  • 内容过滤: 正向代理可以根据预设的规则对请求或响应进行过滤, 如屏蔽广告、阻止恶意网站等。
  • 访问控制: 通过正向代理, 可以实现对特定网站的访问控制, 如限制员工在工作时间访问娱乐网站。
  • 隐藏客户端身份: 正向代理可以隐藏客户端的真实 IP 地址, 保护客户端的隐私。
  • 负载均衡: 在多个目标服务器之间分配客户端请求, 提高系统的可扩展性和可靠性。

应用场景
        企业网络管理: 企业可以通过正向代理实现对员工网络访问的管理和控制, 确保员工
在工作时间内专注于工作, 避免访问不良网站或泄露公司机密。

        公共网络环境: 在公共场所如图书馆、 学校等提供的网络环境中, 通过正向代理可以实现对网络资源的合理分配和管理, 确保网络使用的公平性和安全性。
        内容过滤与保护: 家长可以通过设置正向代理来过滤不良内容, 保护孩子免受网络上的不良信息影响。
        提高访问速度: 对于经常访问的网站或资源, 正向代理可以通过缓存机制提高访问速
度, 减少网络延迟。
        跨境电商与海外访问: 对于跨境电商或需要访问海外资源的企业和个人, 正向代理可
以帮助他们突破网络限制, 顺畅地访问海外网站和资源。


反向代理

        反向代理服务器是一种网络架构模式, 其作为 Web 服务器的前置服务器, 接收
来自客户端的请求, 并将这些请求转发给后端服务器, 然后将后端服务器的响应返回
给客户端。 这种架构模式可以提升网站性能、 安全性和可维护性等’

基本原理
        反向代理服务器位于客户端和 Web 服务器之间, 当客户端发起请求时, 它首先会到达反向代理服务器。 反向代理服务器会根据配置的规则将请求转发给后端的 Web服务器, 并将 Web 服务器的响应返回给客户端。 在这个过程中, 客户端并不知道实际与哪个 Web 服务器进行了交互, 它只知道与反向代理服务器进行了通信。
应用场景

  • 负载均衡: 反向代理服务器可以根据配置的负载均衡策略, 将客户端的请求分发到多个后端服务器上, 以实现负载均衡。 这有助于提升网站的整体性能和响应速度,特别是在高并发场景下。
  • 安全保护: 反向代理服务器可以隐藏后端 Web 服务器的真实 IP 地址, 降低其被直接攻击的风险。 同时, 它还可以配置防火墙、 访问控制列表(ACL) 等安全策略,对客户端的请求进行过滤和限制, 以保护后端服务器的安全。
  • 缓存加速: 反向代理服务器可以缓存后端 Web 服务器的响应内容, 对于重复的请求, 它可以直接从缓存中返回响应, 而无需再次向后端服务器发起请求。 这可以大大减少后端服务器的负载, 提升网站的响应速度。
  • 内容过滤和重写: 反向代理服务器可以根据配置的规则对客户端的请求进行过滤和重写, 例如添加或删除请求头、 修改请求路径等。 这有助于实现一些特定的业务需求, 如 URL 重写、 用户认证等。
  • 动静分离: 在大型网站中, 通常需要将静态资源和动态资源分开处理。 通过将静态资源部署在反向代理服务器上, 可以直接从反向代理服务器返回静态资源的响应,而无需再次向后端服务器发起请求。 这可以大大提升静态资源的访问速度。
  • CDN(Content Delivery Network, 内容分发网络) 就是采用了反向代理的原理

NAT 和代理服务器

        路由器往往都具备 NAT 设备的功能, 通过 NAT 设备进行中转, 完成子网设备和其他子
网设备的通信过程.
        代理服务器看起来和 NAT 设备有一点像. 客户端像代理服务器发送请求, 代理服务器将
请求转发给真正要请求的服务器; 服务器返回结果后, 代理服务器又把结果回传给客户端

那么 NAT 和代理服务器的区别有哪些呢?

  • 从应用上讲, NAT 设备是网络基础设备之一, 解决的是 IP 不足的问题. 代理服务器则是更贴近具体应用, 比如通过代理服务器进行翻墙, 另外像迅游这样的加速器,也是使用代理服务器.
  • 从底层实现上讲, NAT 是工作在网络层, 直接对 IP 地址进行替换. 代理服务器往往工作在应用层.
  • 从使用范围上讲, NAT 一般在局域网的出口部署, 代理服务器可以在局域网做,也可以在广域网做, 也可以跨网.
  • 从部署位置上看, NAT 一般集成在防火墙, 路由器等硬件设备上, 代理服务器则是一个软件程序, 需要部署在服务器上

代理服务器是一种应用比较广的技术

  •  翻墙: 广域网中的代理.
  • 负载均衡: 局域网中的代理
     

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2071147.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

yd云手机登录算法分析

yd云手机登录算法分析 yd云手机登录算法分析第一步:抓包-登录第二步:定位加密入口第三步:分析加密算法第四步:算法实现 yd云手机登录算法分析 在这篇文章中,我们将详细解析yd云手机的登录算法,涵盖从抓包到…

SpringBoot整合Mybatis,Junit (复现之前写的一个SSM项目)

引言 如下是之前写的一个SSM项目(纯注解版),现在我们要把它改造成一个SpringBoot项目,以体现SpringBoot的方便。主要需要关注的文件已经用红框标出。 1.config文件夹里面的是Spring,SpringMvc,Mybatis的配…

机械学习—零基础学习日志(如何理解概率论7)

这里需要先理解伯努利试验。只有A与A逆,两种结果。 正态分布 再来一道习题~: 解析: 《概率论与数理统计期末不挂科|考研零基础入门4小时完整版(王志超)》学习笔记 王志超老师 (UP主)

【Python学习手册(第四版)】学习笔记20.1-迭代和解析(二)-生成器函数、表达式详解

个人总结难免疏漏,请多包涵。更多内容请查看原文。本文以及学习笔记系列仅用于个人学习、研究交流。 本文会回顾迭代、列表解析、map,新学习生成器函数及其相关的生成器函数、表达式——这是用户定义的、按需产生结果的方式。较简单。 目录 回顾列表解…

软考-软件设计师(数据结构习题一)

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 非常期待和您一起在这个小…

勇夺三项SOTA!北航爱诗科技联合发布灵活高效可控视频生成方法TrackGo!

论文链接:https://arxiv.org/pdf/2408.11475 项目链接:https://zhtjtcz.github.io/TrackGo-Page/ ★ 亮点直击 本文引入了一种新颖的运动可控视频生成方法,称为TrackGo。该方法为用户提供了一种灵活的运动控制机制,通过结合 masks…

qt-内置图片遍历-Lambda按钮

内置图片遍历-Lambda按钮 知识点widget.hwidget.cppmain.cpp运行图 知识点 使用新的connect语法连接信号和槽 --Lambda 使用 connect(btn, &QToolButton::clicked, this, [this, btn,index]() { onToolButtonClicked(btn); // Lambda表达式中调用成员函数,并传…

HackThe Box--Cap

Cap 测试过程 一 信息收集 端口扫描 nmap -sC -sV 10.129.14.25180 端口测试 访问 80 端口处于认证后的页面,登录用户为 Nathon;web 应用程序中发现 4 个功能点。Dashboard、IP Config、Security Snopshot、Network Status 1.Dashboard 页面是一个仪…

sqli-labsSQL手工注入第26-30关

第26关 一.查询数据库 http://127.0.0.1/Less-26/?id11%27%26extractvalue(1,concat(%27~%27,database(),%27~%27))%261%27 二.查表 http://127.0.0.1/Less-26/?id1%27||(updatexml(1,concat(1,(select(group_concat(table_name))from(infoorrmation_schema.tables)where(…

再谈asyncio.exceptions.TimeoutError报错

这两天继续学习rasa的模型训练和使用,期间asyncio.exceptions.TimeoutError的报错还是经常会遇到,特别是actions.py有过一些调整之后,这个报错就一定会准时报道。这个时候就会花费很多时间去检查actions.py是否哪里有问题,然后再重…

嘉立创EDA个人学习笔记2(设计流程及绘制元件)

前言 本篇文章属于嘉立创EDA的学习笔记,来源于B站教学视频。下面是这位up主的视频链接。本文为个人学习笔记,只能做参考,细节方面建议观看视频,肯定受益匪浅。 【教程】零基础入门PCB设计-国一学长带你学立创EDA专业版 全程保姆…

在Ubuntu系统中安装R语言并使用R Markdown

官方提供的R语言安装教程:全面的 R 存档网络 (tsinghua.edu.cn) 在安装之前先使用命令更新软件列表,命令中的 - qq 参数用于减少命令执行时的输出信息。 # update indices sudo apt update -qq 安装依赖项:dirmngr(用于管理密钥…

【自动化测试】python+selenium+谷歌驱动安装记录

需求背景 客户是做偏前端开发的,日常工作需要进行web应用测试,模拟人类浏览器的行为; 需要一些基础的技术栈: Python HTML CSS JavaScript 以上是客户环境↑ 安装过记录 1.安装方式-Seleium安装: 在PyCharm终端或win…

软件工程造价师习题练习 16

1.功能点分析方法是一种从( )视角来度量软件向用户提供的功能规模的方法 A. 需求分析 B. 用户 C. 开发 D. 测试 功能点分析方法是一种软件规模估算方法,其主要目的是从用户的角度来测量软件提供的功能规模。这意味着它关注的是用户所需的…

QT:多线程与并发

Qt创建线程的三种方法 使用QThread类 QThread 是Qt中用于处理线程的类。可以通过继承 QThread 并重写其 run() 方法来创建自定义的线程。 注意: 派生于QThread的类,构造函数属于主线程,run函数属于子线程,可以通过打印线程id 判断。 mythread.h #pragma once #include <QT…

【pytorch深度学习——小样本学习策略】网格搜索和遗传算法混合优化支持向量机的小样本学习策略进行预测

最近需要根据心率血氧数据来预测疲劳度&#xff0c;但是由于心率血氧开源数据量较少&#xff0c;所以在训练模型时面临着样本数量小的问题&#xff0c;需要对疲劳程度进行多分类&#xff0c;属于小样本&#xff0c;高维度问题。在有限样本的条件之下&#xff0c;必须要需要选择…

游戏开发设计模式之责任链模式

责任链模式&#xff08;Chain of Responsibility Pattern&#xff09;是一种行为型设计模式&#xff0c;它允许将请求沿着处理者链进行发送。每个处理者对象都有机会处理该请求&#xff0c;直到某个处理者决定处理该请求为止。 概念与定义 责任链模式的核心思想是将多个处理器…

vue3路由使用createWebHistory部署访问404问题 vite部署访问404问题

vue3路由使用createWebHistory部署访问404问题 vite部署访问404问题 开始createWebHistory() H5路由模式修改vite.config.js修改 router/index.js 路由模式修改Nginx配置1配置2配置3 createWebHashHistory() 哈希模式修改vite.config.js修改 router/index.js 路由模式Nginx配置…

文件IO和多路复用IO

目录 前言 一、文件 I/O 1.基本文件 I/O 操作 1.1打开文件 1.2读取文件内容 (read) 1.3写入文件 (write) 1.4关闭文件 (close) 2.文件指针 二、多路复用 I/O 1.常用的多路复用 I/O 模型 1.1select 1.2poll 1.3epoll 2.使用 select、poll 和 epoll 进行简单的 I/O…

基于vue框架的北城招聘管理平台题目7lly3(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。

系统程序文件列表 项目功能&#xff1a;用户,企业,企业信息,职位类型,职位信息,简历信息,职位应聘,求职意愿,面试信息,录取信息,实习信息,冻结信息,解冻信息 开题报告内容 基于Vue框架的北城招聘管理平台 开题报告 一、引言 随着互联网的飞速发展和企业对人才需求的不断增…