討論前提

考慮到UDP的無狀態特性，目前針對其的NAT實現大致可分為Full Cone、Restricted Cone、Port Restricted Cone和Symmetric NAT四種。值得指出的是，對于TCP協議而言，一般來說，目前NAT中針對TCP的實現基本上是一致的，其間并不存在太大差異，這是因為TCP協議本身便是面向連接的，因此無需考慮網絡連接無狀態所帶來復雜性。

用語定義

1.內部Tuple：指內部主機的私有地址和端口號所構成的二元組，即內部主機所發送報文的源地址、端口所構成的二元組
2.外部Tuple：指內部Tuple經過NAT的源地址/端口轉換之后，所獲得的外部地址、端口所構成的二元組，即外部主機收到經NAT轉換之后的報文時，它所看到的該報文的源地址（通常是NAT設備的地址）和源端口
3.目標Tuple：指外部主機的地址、端口所構成的二元組，即內部主機所發送報文的目標地址、端口所構成的二元組

詳細釋義

1. Full Cone NAT：所有來自同一個內部Tuple X的請求均被NAT轉換至同一個外部Tuple Y，而不管這些請求是不是屬于同一個應用或者是多個應用的。除此之外，當X-Y的轉換關系建立之后，任意外部主機均可隨時將Y中的地址和端口作為目標地址和目標端口，向內部主機發送UDP報文，由于對外部請求的來源無任何限制，因此這種方式雖然足夠簡單，但卻不那么安全

2. Restricted Cone NAT：它是Full Cone的受限版本：所有來自同一個內部Tuple X的請求均被NAT轉換至同一個外部Tuple Y，這與Full Cone相同，但不同的是，只有當內部主機曾經發送過報文給外部主機（假設其IP地址為Z）后，外部主機才能以Y中的信息作為目標地址和目標端口，向內部主機發送UDP請求報文，這意味著，NAT設備只向內轉發（目標地址/端口轉換）那些來自于當前已知的外部主機的UDP報文，從而保障了外部請求來源的安全性

3. Port Restricted Cone NAT：它是Restricted Cone NAT的進一步受限版。只有當內部主機曾經發送過報文給外部主機（假設其IP地址為Z且端口為P）之后，外部主機才能以Y中的信息作為目標地址和目標端口，向內部主機發送UDP報文，同時，其請求報文的源端口必須為P，這一要求進一步強化了對外部報文請求來源的限制，從而較Restrictd Cone更具安全性

4. Symmetric NAT：這是一種比所有Cone NAT都要更為靈活的轉換方式：在Cone NAT中，內部主機的內部Tuple與外部Tuple的轉換映射關系是獨立于內部主機所發出的UDP報文中的目標地址及端口的，即與目標Tuple無關；在Symmetric NAT中，目標Tuple則成為了NAT設備建立轉換關系的一個重要考量：只有來自于同一個內部Tuple 、且針對同一目標Tuple的請求才被NAT轉換至同一個外部Tuple，否則的話，NAT將為之分配一個新的外部Tuple；打個比方，當內部主機以相同的內部Tuple對2個不同的目標Tuple發送UDP報文時，此時NAT將會為內部主機分配兩個不同的外部Tuple，并且建立起兩個不同的內、外部Tuple轉換關系。與此同時，只有接收到了內部主機所發送的數據包的外部主機才能向內部主機返回UDP報文，這里對外部返回報文來源的限制是與Port Restricted Cone一致的。不難看出，如果說Full Cone是要求最寬松NAT UDP轉換方式，那么，Symmetric NAT則是要求最嚴格的NAT方式，其不僅體現在轉換關系的建立上，而且還體現在對外部報文來源的限制方面。

參考：UDP"打洞"原理