有朋友留言,买了一部某品牌BE7200级别的路由器,发现设置里有个NAT类型,里面几个选项不知道怎么选。以前的入门级路由器简单设置拨号就行了,这种情况怎么办?别急,我来解释! : h/ }9 L3 M/ ]( {' ~* Y, Z8 @3 y6 s* e
5 Z: L6 ?% W8 H- |9 `
NAT是什么?/ f1 O2 C3 ~$ m; ?& W
: `7 N3 e/ S% }0 H( S; p9 R# ^5 s, [6 j* }! d* u
这位朋友碰到的问题是固件和APP设置中出现了NAT类型的选项。而且里面“全锥形NAT”和“端口受限型NAT”还有警告语,警告前者可能有安全隐患,吓得他不敢去看前者。但是好像不开,玩网游似乎更容易登录失败和掉线了,所以来问小狮子是不是这个东西造成的。" |9 H5 J+ e, e- l$ X7 A
( e( L7 C% B9 ^3 H无独有偶,另外一个朋友的华硕AX92U路由器也出现了NAT类型设置,不过变成了“全锥形NAT”和“对称型NAT”(变成了英文)选项。 9 i) {+ l& {+ S3 x. Z: _$ P; H N" b! r' x: x% x
这里先来解释下NAT。NAT是一种“网络地址转换”技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。/ V, t( z! Z. I5 O
+ I! q. l* V. |, x+ h当私网用户访问公网的报文到达网关设备后,如果网关设备上部署了NAT功能,设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址,端口号转换为另一个端口号之后转发给公网。在这个过程中,设备可以用同一个公网地址来转换多个私网用户发过来的报文,并通过端口号来区分不同的私网用户,从而达到地址复用的目的。 0 [( j. E& v# q, R. i5 s/ |& O+ k3 `
实际上,现在的NAT已经转变为NAPT,也就是主要通过“Port”,也就是“端口”的映射,来来完成网络地址转换了。这样就实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户,真正做到了地址复用。: ~" M) \ D9 E b7 u/ J2 M
0 W1 x8 N1 l. @8 F9 m简单来说,就是路由器的NAT,能让你的局域网上的每个设备,都变成一个在互联网上有“独立公网IP”的设备,从而让很多服务,比如网络游戏、视频和语音通话、IPTV等服务,能够更好更流程的变成某种意义的“点对点”转发工作,从而提高效率和连接成功率。 4 d. g- T* \& O1 D m; }5 G z 7 q4 t. }1 c/ C: z" ~( F( H, f: R四种NAT服务,越来越严格0 v5 Z- s2 {7 j0 O) V
W6 p0 R5 o8 j2 y/ w! T8 K. T现在NAT服务在网络协议规范中,有四种工作模式。分别是完全锥形NAT、限制锥形NAT、端口受限NAT和对称NAT。其中,家用中高端路由器中,最常见是完全锥形NAT、端口受限NAT和对称NAT。该怎么选,你需要先了解它们的意义。 O$ B+ U, n5 ?7 V5 c ; a9 h7 Z) }: }Full Cone NAT(完全锥型NAT) / q( g% H) f# k6 x% ]7 i1 j- ~. S+ X7 l/ f% y8 D! k2 n; h
所有从同一个私网IP地址和端口(IP1ort1)发送过来的请求都会被映射成同一个公网IP地址和端口(IPort)。并且,任何外部主机通过向映射的公网IP地址和端口发送报文,都可以实现和内部主机进行通信。+ j1 z3 L5 H# |# f. M
/ i8 c0 M0 I' B: \" I, ~& q
V( y1 v! {) y* h这是一种比较宽松的策略,只要建立了私网IP地址和端口与公网IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机。可以说是“局域网设备可以让路由器自由转换网络地址”。如果要使用内网穿透的工具和部分NAS软件,必须借助全锥形NAT的这个特性实现。 $ H7 N$ H! R: h9 B1 L% G3 n. M p3 O* ?- \# F. u N2 ]
Restricted Cone NAT(限制锥型NAT). B, f- X8 {7 W
3 @+ m: a6 |9 G; C# B0 _0 I
所有从同一个私网IP地址和端口(IP1ort1)发送过来的请求都会被映射成同一个公网IP和端口号(IPort)。 9 x4 [! [, u t9 n# p/ J/ q2 W% P j, B! [
与全锥形NAT不同,只有在内部主机之前向IP地址X发送过数据包时,外部主机(具有IP地址X)才能向内部主机发送数据包,因此对新的UDP协议的程序(如部分网游和聊天程序),并不友好。 2 G9 c% C2 }% B: Z+ Q$ {5 k Q! m; _; P& Y# K0 m; m2 I4 a3 a$ LPort Restricted Cone NAT(端口限制锥型NAT)4 Z- C( a! G* I2 f& |
, U: h( P3 Z0 q: w% [与限制锥型NAT很相似,只不过它包括端口号。也就是说,一台公网主机(IP2ort2)想给私网主机发送报文,必须是这台私网主机先前已经给这个IP地址和端口发送过报文。相对限制锥形NAT,要求更严格了。部分网游使用这个模式的话,更难连接成功。 7 x) n( u' |/ |& i# t# @/ j$ M4 ?! J! O6 n% l' \7 ~
Symmetric NAT(对称NAT) 7 X o8 o1 U6 C% D. C* ?) G, v' c* L/ g& O) U/ ~" t
所有从同一个私网IP地址和端口发送到一个特定的目的IP地址和端口的请求,都会被映射到同一个IP地址和端口。如果同一台主机使用相同的源地址和端口号发送报文,但是发往不同的目的地,NAT将会使用不同的映射。此外,只有收到数据的公网主机才可以反过来向私网主机发送报文。 $ [2 o! m) _; x2 o6 p+ X* p. j) L- o8 F5 ` M, o& M$ G& C" k
1 s$ n2 A/ d4 j
这和端口限制锥型NAT不同,端口限制锥型NAT是所有请求映射到相同的公网IP地址和端口,而对称NAT是不同的请求有不同的映射。换句话说,对称NAT允许内部主机之间直接通信,而不必通过外部服务器中转。 % U2 [: K- k$ m2 b5 n 0 ? t% n- w# [/ g7 P1 j华硕大部分中高端家用路由器,默认设置都是“对称NAT”。 ' b, T, U) _, W3 S, ?1 ` 9 V6 A2 f; j1 Q+ j u% ~& j四种NAT怎么设置? 7 o; p* e: _' P: |4 e3 m( X; o" i! `7 ~& ~" v6 ?/ {) [
IPv4的NAT,相当于半个防火墙。 + \2 Q, }1 E& }& G9 m7 n) C$ q* o3 d
! |$ @) n+ ^; k+ x: B7 P X* N
因为路由器不会主动对外提供服务,所以,外网黑客无法通过直接和路由器建立连接来和内网机器主动通讯。全锥NAT或者各种受限NAT情况下开uPnP进行较少限制的端口映射,就容易给黑客这样的机会(前提是你感染了相关病毒、木马进行了端口映射或者系统被注入攻击打开了端口映射)。 ( u/ x( x* Q X 4 ?7 A F4 V& Z! U* M那么,如何设置NAT呢?9 v- |: A+ |' m) V
发表于 2024-2-9 10:04:59
ort1)发送过来的请求都会被映射成同一个公网IP地址和端口(IP