Nat穿透方法分析

Nat穿透方法分析

一、nat分类

静态NAT (Static NAT)

内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

动态地址NAT (Pooled NAT)

在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。

网络地址端口转换NAPT（Port-Level NAT）

把内部地址映射到外部网络的一个IP地址的不同端口上。

二、基本nat分类

（1）Full Cone NAT(完全圆锥型)

NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上

（2）Address Restricted Cone NAT(地址限制圆锥型 )

NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P}的包才能和主机{X:y}通信

（3）Port Restricted Cone NAT(端口限制圆锥型)

NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P,q}的包才能和主机{X:y}通信

（4）Symmetric NAT(对称型)

NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定为{X:y}|{A:b}<->{P:q} NAT只接受来自{P:q}的incoming packet，将它转给{X:y} 每次客户机请求一个不同的公网地址和端口，NAT会新分配一个端口号{C,d}

三、Nat穿透方法分析

A机器在私网（192.168.0.4）

A侧NAT服务器（210.21.12.140）

B机器在另一个私网（192.168.0.5）

B侧NAT服务器（210.15.27.140）

C机器在公网（210.15.27.166）作为A和B之间的中介

A机器连接过C机器，假使是 A（192.168.0.4:5000）-> A侧NAT（转换后210.21.12.140:8000）-> C（210.15.27.166:2000）

B机器也连接过C机器，假使是 B（192.168.0.5:5000）-> B侧NAT（转换后210.15.27.140:8000）-> C（210.15.27.166:2000）

A机器连接过C机器后，A向C报告了自己的内部地址（192.168.0.4:5000），此时C不仅知道了A的外部地址

（C通过自己看到的210.21.12.140:8000）、也知道了A的内部地址。同理C也知道了B的外部地址（210.15.27.140:8000）和

内部地址（192.168.0.5:5000）。之后，C作为中介，把A的两个地址告诉了B，

同时也把B的两个地址告诉了A。

假设A先知道了B的两个地址，则A从192.168.0.4:5000处同时向B的两个地址192.168.0.5:5000和210.15.27.140:8000发包

，由于A和B在两个不同的NAT后面，故从A（192.168.0.4:5000）到B （192.168.0.5:5000）的包肯定不通，现在看

A（192.168.0.4:5000）到B（210.15.27.140:8000）的包，分如下两种情况：1、B侧NAT属于Full Cone NAT

则无论A侧NAT属于Cone NAT还是Symmetric NAT，包都能顺利到达B。如果P2P程序设计得好，使得B主动到A的包也能借用

A主动发起建立的通道的话，则即使A侧NAT属于Symmetric NAT，B发出的包也能顺利到达A。

结论1：只要单侧NAT属于Full Cone NAT，即可实现双向通信。

2、B侧NAT属于Restricted Cone或Port Restricted Cone

则包不能到达B。再细分两种情况

（1）、A侧NAT属于Restricted Cone或Port Restricted Cone

虽然先前那个初始包不曾到达B，但该发包过程已经在A侧NAT上留下了足够的记录：

A（192.168.0.4:5000）->（210.21.12.140:8000）->B（210.15.27.140:8000）。如果在这个记录没有超时之前，

B也重复和A一样的动作，即向A（210.21.12.140:8000）发包，虽然A侧NAT 属于Restricted Cone或Port Restricted Cone，

但先前A侧NAT已经认为A已经向B（210.15.27.140:8000）发过包，故B向A （210.21.12.140:8000）发包能够顺利到达A。

同理，此后A到B的包，也能顺利到达。

结论2：只要两侧NAT都不属于Symmetric NAT，也可双向通信。换种说法，只要两侧NAT都属于Cone NAT，即可双向通信。

（2）、A侧NAT属于Symmetric NAT

因为A侧NAT属于Symmetric NAT，且最初A到C发包的过程在A侧NAT留下了如下记录：

A（192.168.0.4:5000）->（210.21.12.140:8000）-> C（210.15.27.166:2000），故A到B发包过程在A侧NAT上留下的记录为：

A（192.168.0.4:5000）->（210.21.12.140:8001）->B（210.15.27.140:8000）（注意，转换后端口产生了变化）。

而B向A的发包，只能根据C给他的关于A的信息，发往A（210.21.12.140:8000），因为A端口受限，故此路不通。

再来看B侧NAT，由于B也向A发过了包，且B侧NAT属于Restricted Cone或Port Restricted Cone，故在B侧NAT上留下的记录为：

B（192.168.0.5:5000）->（210.15.27.140:8000）->A（210.21.12.140:8000），此后，如果A还继续向B发包的话

（因为同一目标，故仍然使用前面的映射），如果B侧NAT属于Restricted Cone，则从A（210.21.12.140:8001）来的包能够顺利到达B；

如果B侧NAT属于Port Restricted Cone，则包永远无法到达B。

结论3：一侧NAT属于Symmetric NAT，另一侧NAT属于Restricted Cone，也可双向通信。

显然，还可得出另一个不幸的结论4，两个都是Symmetric NAT或者一个是Symmetric NAT、另一个是Port Restricted Cone，

则不能双向通信。

上面的例子虽然只是分析了最初发包是从A到B的情况，但是，鉴于两者的对称性，并且如果P2P程序设计得足够科学，

则前面得出的几条结论都是没有方向性，双向都适用的。

通过上述分析，我们得知，在穿越NAT方面，Symmetric NAT和Port Restricted Cone是有本质区别的，尽管他们表面上看起来相似。

我们上面得出了四条结论，而natcheck网站则把他归结为一条：只要两侧NAT 都属于Cone NAT

（含Full Cone、Restricted Cone和Port Restricted Cone三者），即可双向通信。

而且natcheck网站还建议尽量使用Port Restricted Cone，以充分利用其端口受限的属性确保安全性。