NAT种类
- 说明
NAT有三种类型:静态NAT(tatic NAT)、动态地址NAT(Pooled NAT)和网络地址端口转换(NetworkAddress PortTranslation,NAPT)。
- 其中静态NAT设置起来最简单; 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而动态地址NAT则是在外部网络中定义了的一系列的合法地址,采用动态分配的方法映射到内部网络;
- NAPT则是把内部地址映射到外部网络的一个P地址的不同端口上。
- 前两种类型实际上都不能节省IP 地址。
- NAPT是人们比较熟悉的-种转换方式它普遍应用于接入设备中,可以将中小型的网络隐藏在一个合法的IP地址后面,这个优点使得这种方式在小型办公室内非常实用,通过从ISP处申请的一个公网IP地址,可以将多台电脑或网络设备通过NAPT接入Internet。
- 一般来说,NAPT有四种类型,但它实际上又分为两大类:锥型NAT 和对称NAT。其中锥型NAT 又分为三类,因而一共是四类。(其中前三类属于锥型,最后一类属于对称型)。
- 种类详解
- Full ConeNAT(全锥型NAT)
内网主机建立一个UDP socket(表示为 LocalIP;LocalPort,如192.168.1.10:10000)第-次使用这个 socket 给外部主机发送数据时,NAT 设备(如我们上面讲的路由器)会给其分配一个公网IP端口对(PublicIP:PublicPort,如1.2.3.5:10000),并记住它们之间的映射关系。以后用这个socket 向外面任何主机发送数据都将使用这对 PublicIPPublicPort。此外,任何主机只要知道这个PublicIP:PublicPort就可以给它发送数据,NAT设备会根据它已经记住的映射关系将收到的数据转发到相应的内部主机的 LocalIP:LocalPort 上。其实简单来说就一句话:内部主机向外打了一个洞,外网的任何主机都可以利用这个洞与它通信。
- Restricted Cone NAT(限制锥型NAT)
内网主机建立一个UDP socket (LocalIP:LocalPort)第一次使用这个socket给外部主机发送数据时NAT设备会给其分配一个公网的PublicIP:PublicPort,以后用这个 socket向外面任何主机发送数据都将使用这对 PublicIP:PublicPort。此外,如果外部主机想要发送数据给这个内网主机,除了需要知道这个PublicIP:PublicPort外,内网主机在这之前必须用这个 socket 曾向这个外部主机的IP 发送过数据。也就是说,如果内网的主机从来没有往某一公网IP 发送过数据,则这个公网IP 是不能往内网主机发送数据的,即使它知道PublicIP:PublicPort也不行。按洞的理论来说,就是内部主机向某一外部主机打了一个洞后只有该外部主机才能利用这个洞。
- Port Restricted ConeNAT(端口限制锥型NAT)
这种NAT与Restricted Cone类似,唯一不同的是,如果外部主机想要给内网主机发送数据,它除了必须知道 PublicIP:PublicPort外,而且内部的主机必须事先向该外部主机的IP:Port发送过数据,并且该公网主机必须使用相应的IP:Port通过 PublicIP:PublicPort给内网主机发送数据。
可以看出,Poxt Restricted Cone NAT与Restricted Cone相比增加了对外网主机使用的端口的限制。即内部主机向外部主机上一某一程序(一个端口)打了一个洞,则只有该程序可以利用这个洞,其他的不行。 - SymmetricNAT(对称型NAT)
锥型NAT对内网主机的同一socket (LocalIP:Localport)发往任何外网主机的数据均分配一个PublicIPPublicPort,而对称型NAT会对内网主机同- socket(LocalIP:Localport)发往外部不同主机的数据分配不同的PublicIP:PublicPort映射关系。
详细来讲,内网主机建立一个UDPsocket (LocalIP:LocalPort),当用这个 socket 第一次给外部主机1发送数据时,NAT设备会为其映射一个PublicP-1:Port-1,以后内网主机发送给外部主机1的所有数据都用这个 PublicIP-1:PubliPort-1。如果内网主机同时用这个socket给外部主机B发送数据第一次发送时NAT设备会为其分配一个PublicIP-2:PublicPort-2以后内网主机发送给外部主机2的所有数据都用这个PublicIP-2:Port-2。
如果任何外部主机M想要发送数据给这个内网主机N,N必须曾经用这个 socket 向这个外部主机M的IP发送过数据,并且M需要知道N向M发送数据时NAT 设备为其映射的PublicIP:PublicPort。这样这个外部主机M就可以用自己的IP:AnyPort(即任何端口)给PublicIP:PublicPort 发送数据。
对称型NAT相当于对同一内部主机联系不同的外部主机时都需要打不同的洞
- Full ConeNAT(全锥型NAT)
使用UDP 穿透NAT
通常情况下,当进程使用UDP 和外部主机通信时,NAT 会建立一个Session ,这个Session 能够保留多久并没有标准:几秒、几分钟、几个小时。
如果ClientA想和ClientB通信,一种办法是Server 作为中间人,负责转发ClientA 和ClientB 之间的消息,但是这样服务器压力大。另一种方法就是让ClientA何ClientB 建立端到端的连接,双方直接通信,也就是P2P 连接。
根据不同类型的NAT ,下面分别讲解。
- 全锥NAT ,穿透全锥型NAT 很容易,根本称不上穿透,因为全锥型NAT 将内部主机的映射到确定的地址,不会阻止从外部发送的连接请求,所以可以不用任何辅助手段就可以建立连接。
- 限制性锥NAT和端口限制性锥NAT:会丢弃它未知的源地址发向内部主机的数据包。所以现在ClientA直接发送UDP 数据包到ClientB,那么数据包将会被NAT-B的丢弃。所以采用下面的方法来建立ClientA 和ClientB之间的通信。
1 .ClientA(1.2.3.5:10000)发送数据包给Server,请求和ClientB(1.2.3.6:20000)通信。 2. Server 将ClientA 的地址和端口(1.2.3.5:10000)发送给ClientB ,告诉ClientB ,ClientA 想和它通信。 3. ClientB向ClientA发送UDP 数据包,当然这个包在到达NAT-A 的时候,还是会被丢弃,这并不是关键的,因为发送这个UDP 包只是为了让NAT-B 记住这次通信的目的地址:端口号,当下次以这个地址和端口为源的数据到达的时候就不会被NAT-B 丢弃,这样就在NAT-B 上打了一个从ClientB 到ClientA的洞。 4. 为了让ClientA知道什么时候才可以向ClientB发送数据,所以ClientB在向ClientA打洞之后,还要通过Server 向ClientA发一个消息说可以发消息了。 5. ClientA向ClientB发送UDP 数据包。这个数据包不会被NAT-B 丢弃,以后ClientB向ClientA发送的数据包也不会被ClientA丢弃,因为NAT-A 已经知道是ClientA首先发起的通信。至此,ClientA和ClientB就可以进行通信了。 - 穿透对称NAT
上面讨论的都是怎样穿透锥(Cone)NAT ,对称NAT 和锥NAT 很不一样。 对于 对称NAT ,当一个私网内主机和外部多个不同主机通信时,对称NAT 并不会像锥(全锥,限制性锥,端口限制性锥)NAT 那样分配同一个端口。而是会新建立一个Session ,重新分配一个端口。 参考上面穿透限制性锥NAT 的过程,在步骤3 时:ClientB向ClientA打洞的时候,对称NAT-B 将给ClientB重新分配一个端口号,而这个端口号对于Server 、ClientB 、ClientA来说都是未知的。同样, ClientA根本不会收到这个消息 同时在步骤4 ,ClientB发送给Server 的通知消息中,ClientB的socket 依旧是(1.2.3.6:20000)。 而且,在步骤5时:ClientA 向它所知道但错误的ClientB发送数据包时,NAT-A 也会重新给ClientA分配端口号。所以,穿透对称NAT 的机会很小。
UDP穿越NAT测试代码
测试环境:公网服务器一台、本地电脑一台,均为debian
注意:Client A和Client B发往 Server的端口,当B再给A发时,端口变了(说明B为对称NAT)
如果Client A和Client B 都运行在本地电脑,则无法穿越
-
现在在公网服务器运行server
- make server && ./server
- make server && ./server
-
再在公网服务器运行client A
- gcc -o client client.c -lpthread
- ./client A
-
最后在本地电脑运行client B
- gcc -o client client.c -lpthread
- ./client B
-
server.c
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> #include <time.h> #include <sys/time.h> typedef struct{ char user[8]; char text[64]; struct sockaddr_in addr; }address_t; #define BUF_SIZE 512 char time_tmp[128] = ""; char *display_time(void){ struct timeval tv; struct timezone tz; struct tm *tp; gettimeofday(&tv, &tz); tp=localtime(&tv.tv_sec); memset(time_tmp, 0, sizeof(time_tmp)); sprintf(time_tmp, "%4d-%02d-%02d %02d:%02d:%02d.%06d",1900+tp->tm_year, 1+tp->tm_mon, tp->tm_mday, tp->tm_hour, tp->tm_min, tp->tm_sec, (int)(tv.tv_usec)); return time_tmp; } int main(int argc, char *argv[]){ unsigned short port = 10009; int sockfd = socket(AF_INET,SOCK_DGRAM,0); printf("Socket use IPV4!\n"); if(sockfd < 0){ printf("socket error!\n"); exit(-1); } struct sockaddr_in my_addr; memset(&my_addr, 0, sizeof(my_addr)); my_addr.sin_family=AF_INET; my_addr.sin_port=htons(port); my_addr.sin_addr.s_addr=htonl(INADDR_ANY); printf("Binding server to port %d\n",port); int err_log = bind(sockfd,(struct sockaddr *)&my_addr,sizeof(my_addr)); if(err_log!=0){ printf("bind error!\n"); close(sockfd); exit(-1); }else{ printf("Binding seccuss!\n"); } address_t client_A; address_t client_B; while(1){ memset(&client_A, 0, sizeof(client_A)); memset(&client_B, 0, sizeof(client_B)); { //接收A数据 char cli_ip_A[INET_ADDRSTRLEN] = ""; socklen_t cliaddr_len_A = sizeof(client_A.addr); recvfrom(sockfd, &client_A, sizeof(client_A), 0, (struct sockaddr *)&client_A.addr, &cliaddr_len_A); inet_ntop(AF_INET, &client_A.addr.sin_addr, cli_ip_A, INET_ADDRSTRLEN); printf("[%s] Recv user:%s (%s:%d) text:%s\n", display_time(), client_A.user, cli_ip_A, ntohs(client_A.addr.sin_port), client_A.text); //接收B数据 char cli_ip_B[INET_ADDRSTRLEN] = ""; socklen_t cliaddr_len_B = sizeof(client_A.addr); recvfrom(sockfd, &client_B, sizeof(client_B), 0, (struct sockaddr *)&client_B.addr, &cliaddr_len_B); inet_ntop(AF_INET, &client_B.addr.sin_addr, cli_ip_B, INET_ADDRSTRLEN); printf("[%s] Recv user:%s (%s:%d) text:%s\n", display_time(), client_B.user, cli_ip_B, ntohs(client_B.addr.sin_port), client_B.text); } { //把A数据发给B memset(client_A.text, 0, sizeof(client_A.text)); sprintf(client_A.text, "hi %s, my name is server", client_A.user); int ret = sendto(sockfd, &client_A, sizeof(client_A), 0, (struct sockaddr *)&client_B.addr, sizeof(client_B.addr)); printf("[%s] Send A info to B ret:%d \n",display_time(), ret); //把B数据发给A memset(client_B.text, 0, sizeof(client_B.text)); sprintf(client_B.text, "hi %s, my name is server", client_B.user); ret = sendto(sockfd, &client_B, sizeof(client_B), 0, (struct sockaddr *)&client_A.addr, sizeof(client_A.addr)); printf("[%s] Send B info to A ret:%d \n",display_time(), ret); } } close(sockfd); return 0; } -
client.c
#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> #include <time.h> #include <sys/time.h> #include <pthread.h> typedef struct{ char user[8]; char text[64]; struct sockaddr_in addr; }address_t; #define BUF_SIZE 512 int sockfd = 0; char time_tmp[128] = ""; address_t client_send; address_t client_recv; char *display_time(void){ struct timeval tv; struct timezone tz; struct tm *tp; gettimeofday(&tv, &tz); tp=localtime(&tv.tv_sec); memset(time_tmp, 0, sizeof(time_tmp)); sprintf(time_tmp, "%4d-%02d-%02d %02d:%02d:%02d.%06d",1900+tp->tm_year, 1+tp->tm_mon, tp->tm_mday, tp->tm_hour, tp->tm_min, tp->tm_sec, (int)tv.tv_usec); return time_tmp; } void* thread_recv(void* arg){ while(1){ char cli_ip[INET_ADDRSTRLEN] = ""; socklen_t cliaddr_len = sizeof(client_recv.addr); recvfrom(sockfd, &client_recv, sizeof(client_recv), 0, (struct sockaddr *)&client_recv.addr, (socklen_t *)&cliaddr_len); inet_ntop(AF_INET, &client_recv.addr.sin_addr, cli_ip, INET_ADDRSTRLEN); printf("[%s] User:%s Recv from user:%s (%s:%d) text:%s\n",display_time(), client_send.user, client_recv.user, cli_ip, ntohs(client_recv.addr.sin_port), client_recv.text); } } int main(int argc, char *argv[]){ unsigned short port = 10009; char server_ip[16+1] = "121.xxx.xx.105"; memset(&client_send, 0, sizeof(client_send)); memset(&client_recv, 0, sizeof(client_recv)); if(argc >= 2){ strcpy(client_send.user, argv[1]); sprintf(client_send.text, "hi server, my name is %s", client_send.user); printf("Input User:%s\n", client_send.user); sockfd = socket(AF_INET,SOCK_DGRAM,0); printf("Socket use IPV4!\n"); if(sockfd < 0){ printf("sockfd error!\n"); exit(-1); } struct sockaddr_in dest_addr; memset(&dest_addr, 0, sizeof(dest_addr)); dest_addr.sin_family = AF_INET; dest_addr.sin_port = htons(port); inet_pton(AF_INET, server_ip, &dest_addr.sin_addr); //给服务器发消息 sendto(sockfd, &client_send, sizeof(client_send), 0, (struct sockaddr *)&dest_addr, sizeof(dest_addr)); printf("[%s] User:%s sendto server\n", display_time(), client_send.user); //接收服务器发过来的对方地址 char cli_ip[INET_ADDRSTRLEN] = ""; socklen_t cliaddr_len = sizeof(dest_addr); recvfrom(sockfd, &client_recv, sizeof(client_recv), 0, (struct sockaddr *)&dest_addr, (socklen_t *)&cliaddr_len); inet_ntop(AF_INET, &client_recv.addr.sin_addr, cli_ip, INET_ADDRSTRLEN); printf("[%s] User:%s Recv Server from user:%s (%s:%d) text:%s\n",display_time(), client_send.user, client_recv.user, cli_ip, ntohs(client_recv.addr.sin_port), client_recv.text); //接收对方消息 pthread_t pid; pthread_create(&pid, NULL, thread_recv, NULL); //给对方发消息 int count = 0; while(1){ sprintf(client_send.text, "hi %s, my name is %s say:%d", client_recv.user, client_send.user, count++); sendto(sockfd, &client_send, sizeof(client_send), 0, (struct sockaddr *)&client_recv.addr, sizeof(client_recv.addr)); printf("[%s] User:%s sendto user:%s (%s:%d)\n", display_time(), client_send.user, client_recv.user, cli_ip, ntohs(client_recv.addr.sin_port)); sleep(1); } }else{ printf("Input A or B\n"); } return 0; }
