51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

iptables与stun

作者:佚名
运维 系统运维
iptables 是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。本文介绍下iptables与stun的知识。

iptablesstun是一对朋友,互相帮忙,互相补短!

  iptables与stun

  Stun协议(Rfc3489、详见http://www.ietf.org/rfc/rfc3489.txt)将NAT粗略分为4种类型,即Full Cone、Restricted Cone、Port Restricted Cone和Symmetric。举个实际例子来说明这四种NAT的区别:

  A机器在私网(192.168.0.4)

  NAT服务器(210.21.12.140)

  B机器在公网(210.15.27.166)

  C机器在公网(210.15.27.140)

  现在,A机器连接过B机器,假设是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)。

  同时A从来没有和C通信过。

  则对于不同类型的NAT,有下列不同的结果:

  Full Cone NAT:C发数据到210.21.12.140:8000,NAT会将数据包送到A(192.168.0.4:5000)。因为NAT上已经有了192.168.0.4:5000到210.21.12.140:8000的映射。

  Restricted Cone:C无法和A通信,因为A从来没有和C通信过,NAT将拒绝C试图与A连接的动作。但B可以通过210.21.12.140:8000与A的192.168.0.4:5000通信,且这里B可以使用任何端口与A通信。如:210.15.27.166:2001 -> 210.21.12.140:8000,NAT会送到A的5000端口上。

  Port Restricted Cone:C无法与A通信,因为A从来没有和C通信过。而B也只能用它的210.15.27.166:2000与A的192.168.0.4:5000通信,因为A也从来没有和B的其他端口通信过。该类型NAT是端口受限的。

  Symmetric NAT:上面3种类型,统称为Cone NAT,有一个共同点:只要是从同一个内部地址和端口出来的包,NAT都将它转换成同一个外部地址和端口。但是Symmetric有点不同,具体表现在:只要是从同一个内部地址和端口出来,且到同一个外部目标地址和端口,则NAT也都将它转换成同一个外部地址和端口。但如果从同一个内部地址和端口出来,是到另一个外部目标地址和端口,则NAT将使用不同的映射,转换成不同的端口(外部地址只有一个,故不变)。而且和Port Restricted Cone一样,只有曾经收到过内部地址发来包的外部地址,才能通过NAT映射后的地址向该内部地址发包。

  现针对Symmetric NAT举例说明(承接前例):

  A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)

  如果此时A机器(192.168.0.4:5000)还想连接C机器(210.15.27.140:2000),则NAT上产生一个新的映射,对应的转换可能为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8001)-> C(210.15.27.140:2000)。此时,B只能用它的210.15.27.166:2000通过NAT的210.21.12.140:8000与A的192.168.0.4:5000通信, C也只能用它的210.15.27.140:2000通过NAT的210.21.12.140:8001与A的192.168.0.4:5000通信,而B或者C的其他端口则均不能和A的192.168.0.4:5000通信。

  通过上面的例子,我们应该清楚了Stun协议对NAT进行分类的依据。那么,我们现在根据上述分类标准(或例子),来简要分析一下iptables的工作原理,看看他又是属于哪种NAT呢?

  首先,我们去网上下载一个使用Stun协议检测NAT的工具,网址在http://sourceforge.net/projects/stun/,使用该工具对iptables的检测结果是Port restricted NAT detected。

  我们先不要急着接受这个检测结果,还是先来分析一下iptables的工作原理吧!

  iptables在转换地址时,遵循如下两个原则:

  1、尽量不去修改源端口,也就是说,ip伪装后的源端口尽可能保持不变。

  2、更为重要的是,ip伪装后只需保证伪装后的源地址/端口与目标地址/端口(即所谓的socket)唯一即可。

  仍以前例说明如下:

  A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)。(注意,此处NAT遵循原则1、故转换后端口没有改变)

  如果此时A机器(192.168.0.4:5000)还想连接C机器(210.15.27.140:2000),则NAT上产生一个新的映射,但对应的转换仍然有可能为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)。这是因为NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)和NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)这两个socket不重复。因此,对于iptables来说,这既是允许的(第2条原则)、也是必然的(第1条原则)。

  在该例中,表面上看起来iptables似乎不属于Symmetric NAT,因为它看起来不符合Symmetric NAT的要求:如果从同一个内部地址和端口出来,是到另一个目标地址和端口,则NAT将使用不同的映射,转换成不同的端口(外部地址只有一个,故不变)。相反,倒是符合除Symmetric NAT外的三种Cone NAT的要求:从同一个内部地址和端口出来的包,NAT都将它转换成同一个外部地址和端口。加上iptables具有端口受限的属性(这一点不容置疑,后面举反例证明之),所以好多检测工具就把iptables报告为Port restricted NAT类型了。

  下面仍以前例接着分析:

  在前例中增加D机器在私网(192.168.0.5)

  A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)

  D机器连接过C机器,假使是 D(192.168.0.5:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)

  由iptables转换原则可知,上述两个转换是允许且必然的。

  如果此时A机器(192.168.0.4:5000)还想连接C机器(210.15.27.140:2000),则NAT上产生一个新的映射,但对应的转换则变为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5001)-> C(210.15.27.140:2000)。这是因为,如果仍然将其转换为210.21.12.140:5000的话,则其所构成的socket(210.21.12.140:5000->210.15.27.140:2000)将和D->C的socket一致,产生冲突,不符合iptables的第2条原则。(注意,此处以5001表示转换后不同的端口,但事实上,iptables却并不按照内部端口+1的原则来产生新的端口)。

  在本例中,从同一个内部地址和端口(192.168.0.4:5000)出来,到另一个目标地址和端口,则NAT使用了不同的映射,转换成不同的端口。显然,该现象又满足了Symmetric NAT的要求,同时不能够满足Cone NAT的要求。

  我们再来回顾一下Stun协议对Cone NAT的要求:所有(或只要是)从同一个内部地址和端口出来的包,NAT都将它转换成同一个外部地址和端口。虽然iptables在大部分情况下满足“从同一个内部地址和端口出来的包,都将把他转换成同一个外部地址和端口”这一要求,但它不能在所有情况侣阏庖灰蟆K岳砺凵希颐蔷椭荒馨裪ptables归为Symmetric NAT了。(但在事实上,按照前面例子或者Stun协议里给出的Discovery Process,大部分情况下对iptables的检测结果必然是Port restricted NAT)

  为什么会出现上述矛盾的情况呢,关键在于Stun协议和iptables对映射的理解不同。Stun协议认为,一个映射的要素是:内部地址端口和NAT转换后地址端口的组合。而在iptables看来,一个映射的要素是:NAT转换后地址端口和外部目标地址端口的组合。

  下面,我们再来分析一下iptables的端口受限的属性,我们举一个反例证明之,仍以前例说明如下:

  A机器连接过B机器,假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)

  D机器连接过C机器,假使是 D(192.168.0.5:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)

  现假设iptables不具有端口受限的属性,则另一E机器在公网(210.15.27.153:2000)或C(210.15.27.140:2001)向210.21.12.140:5000发包的话,应该能够发到内部机器上。但事实是,当这个包到达NAT(210.21.12.140:5000)时,NAT将不知道把这个包发给A(192.168.0.4:5000)还是D(192.168.0.5:5000)。显然,该包只能丢弃,至此,足以证明iptables具有端口受限的属性。

  所以,iptables是货真价实的Symmetric NAT。

  附:

  1、Stun全称Simple Traversal of UDP Through NATs,所以本文所涉及的包,皆为UDP包。

  2、本文虽然是针对linux下iptables的分析,但倘若把本文中关键词“iptables”换成“Win2000下的ics或nat”,则本文的分析过程完全适用于Win2000下的ics或nat。即理论上Win2000下的ics或nat也是货真价实的Symmetric NAT,但实际上,大部分情况下,检测结果必然是Port restricted NAT。为什么Win2000下的ics或nat和iptables的分类是如此一致呢?因为Win2000下的ics或nat在进行NAT转换时,遵循和iptables完全一样的两个原则。

通过文章,我们可以清楚的知道iptables与stun的知识。希望对你们有用!

【编辑推荐】

责任编辑:赵鹏 来源: 网络转载
iptablesstun
相关推荐
iptablesnatcheck
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。iptables与natcheck的关系非常好,我们来看看他们能做出什么好事来!

2011-03-17 15:32:25

iptables asterisk
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。上篇我给大家讲了iptables下开放ftp连接,本文为大家讲下iptables与asterisk的故事。

2011-03-17 17:24:48

什么是STUN协议?
文章中,我们对STUN协议的基本内容进行了介绍。包括它的含义,方案和算法。希望对大家有所帮助。

2010-07-14 17:12:38

STUN协议
iptables简介安装命令
iptables简介与安装命令:Linux提供了一个非常优秀的防火墙工具iptables,它完全免费、功能强大、使用灵活,可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。本文介绍的是iptables简介与安装命令

2011-03-15 15:47:25

iptables安装命令
iptables 总结应用心得
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。在前面的文章中为大家介绍了iptables的配置和命令,本文将总结下iptables相关知识供大家参考!

2011-03-15 11:05:03

Linux防火墙的IPtables设置用法
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文为大家讲下Linux防火墙的IPtables设置与用法,供大家参考。

2011-03-15 17:25:38

Linux防火墙(Iptables)的开启关闭
Linux防火墙(Iptables)的开启与关闭:iptables是Linux内核集成的IP信息包过滤系统,如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux上更好地控制IP信息包过滤和防火墙配置。本文讲述的是Linux防火墙(Iptables)的开启与关闭。

2011-03-15 09:10:42

Linux防火墙Iptables
iptables 范例
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。通过大量的资料大家都知道了iptables了,本文为大家讲的是iptables范例,通过例子让你更好的学习iptables

2011-03-17 17:19:24

iptables
iptables的基础知识-iptables规则
iptables规则:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,详细地来讲iptables包在转发时是怎样被送出呢?本文介绍的是iptables的基础知识iptables规则。

2011-03-18 09:26:13

Iptables规则
iptables实例
iptables实例:iptables是与最新的Linux内核集成的IP信息包过滤系统,它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。本文将介绍iptables实例。

2011-03-15 09:59:59

iptables实例
Kube-Proxy中使用IpvsIptables的比较
kubeproxy就可以通过Service的Informer感知到APIServer中service和endpoint的变化情况。而作为对这个事件的响应,它就会在宿主机上创建这样一条iptables规则(你可以通过iptablessave看到它)。

2021-10-13 16:00:53

KubeProxyIptables
iptables的基础知识-iptables中的ICMP
iptables的基础知识iptables中的ICMP:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,它可以实现iptables防火墙、NAT(网络地址翻译)和数据包的分割等功能。本文介绍的是iptables的基础知识iptables中的ICMP。

2011-03-16 11:17:56

IptablesICMP
iptables规则小结
本文详细的讲述了iptables规则里的细节部分和内容矫正。

2011-03-17 17:45:45

iptables规则
iptables配置工具
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。配置iptables其实不简单,但是用对iptables配置工具那就简单多了,看看我是怎么操作的!

2011-03-15 14:01:13

iptables nat实验
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文将讲述一个iptables的nat实验过程。

2011-03-15 16:26:46

iptablesnat
Iptables性能测试
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文将通过实验测试下Iptables的性能具体情况。

2011-03-15 16:34:36

Iptables性能
Iptables 配置指南
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。光知道iptables的概念是不行的,我们得知道如何去配置Iptables,从而进一步使用和了解他,本文为大家描述下Iptables配置过程!

2011-03-15 09:46:31

iptables的编译
iptables的编译:为了运行iptables,需要在内核配置期间,选择一些选项,无论用什么命令。本文讲述的是iptables的编译

2011-03-14 14:40:11

iptables编译
如何使用 IPTables
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文为大家介绍下如何使用IPTables。

2011-03-15 14:50:03

使用IPTables
iptables 学习笔记
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。iptables很好用很强大,本文是我整理出来的学习笔记,有iptables服务语法规则等。

2011-03-17 16:43:49

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服