from:http://backhead.spaces.live.com/blog/cns!62bfa6c80ca756f3!134.entry
一、NAT類型
大多數(shù)NAT可分為如下類型
cone nat:把相同的內(nèi)網(wǎng)地址和端口始終轉(zhuǎn)換為同一個(gè)外網(wǎng)地址和端口
如192.168.0.2:8000始終轉(zhuǎn)為外網(wǎng)的218.52.37.243:60000,在此session的生命期內(nèi),不管目的ip地址和端口是什么,轉(zhuǎn)化的外網(wǎng)地址都不變
symmetric:相同的內(nèi)網(wǎng)地址和端口,在對(duì)端的地址端口不同時(shí),轉(zhuǎn)變?yōu)椴煌耐饩W(wǎng)地址和端口
如192.168.0.2:8000給地址A和地址B發(fā)包時(shí),轉(zhuǎn)化為不同的外網(wǎng)端口60000和60001,對(duì)應(yīng)兩個(gè)session
nat具有攔截不速之客的功能,從數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)受限的角度上分,cone nat又分為如下幾種
1 full cone 幾乎沒有任何限制,任何地址都可以往轉(zhuǎn)化后的外網(wǎng)地址發(fā)包,nat會(huì)允許數(shù)據(jù)包通過
2 restrict cone nat 只允許相同ip地址的主機(jī)發(fā)的包通過
3 port restrict cone 只允許相同ip地址,相同端口的包通過
symmetric nat在限制方面和port restrict cone是一致的
二、比較流行的nat的一些特性
iptables:symmetric nat,轉(zhuǎn)化后的外網(wǎng)端口盡量為內(nèi)網(wǎng)原端口,本端口被占用時(shí),新分配的端口號(hào)似乎并無規(guī)律(不是累+1的)
windows ics/nat:對(duì)內(nèi)網(wǎng)端口(1025-3000)的端口盡量轉(zhuǎn)換為原端口,該端口被占用或者超過3000的端口時(shí),很可能從1025開始分配端口號(hào)
待續(xù)