我有一个可执行 NAT 的 ADSL 调制解调器/路由器/交换机。它甚至对可配置为提供 DMZ 的一台主机执行此操作。
我希望能够从特定主机执行 Nmap 扫描,并且该主机不应发生 NAT。目前我无法在 NAT 后面执行的操作之一是nmap --traceroute使用除 ICMP 之外的任何操作。同时,我希望网络上的其他主机位于 NAT 后面。我的 ISP 为我分配了一个 IPv4 地址,但我认为,作为企业客户,我可以请求一个额外的地址。
从技术上来说,设备是否能够提供此类功能?是否有一类设备可以提供此功能?
补充:为什么 nmap --traceroute 不起作用
以下工作按预期进行:-
nmap -sP -PE --traceroute scanme.nmap.org
TRACEROUTE (using proto 1/icmp)
HOP RTT ADDRESS
1 16.00 ms my.router (192.168.1.1)
2 55.00 ms lo0.10.central10.ptn-bng01.plus.net (195.166.128.228)
3 42.00 ms irb.10.ptw-cr02.plus.net (84.93.249.2)
4 37.00 ms 10gigabitethernet5-1.core1.lon1.he.net (5.57.80.128)
5 33.00 ms 10ge3-1.core1.lon2.he.net (72.52.92.222)
6 100.00 ms 100ge1-1.core1.nyc4.he.net (72.52.92.166)
7 183.00 ms 10ge9-7.core1.sjc2.he.net (184.105.213.197)
8 179.00 ms 10ge3-2.core3.fmt2.he.net (184.105.222.13)
9 176.00 ms router3-fmt.linode.com (65.49.10.218)
10 168.00 ms scanme.nmap.org (74.207.244.221)
Nmap done: 1 IP address (1 host up) scanned in 5.58 seconds
这没有按预期工作:-
nmap -sP -PS80 --traceroute scanme.nmap.org
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
1 ... 9
10 166.00 ms scanme.nmap.org (74.207.244.221)
Nmap done: 1 IP address (1 host up) scanned in 6.15 seconds
我对此的理解是,my.router 丢弃了来自中间跳的 ICMP 超时消息,我认为这是因为 my.router 期望 TCP 响应其 NAT 表中的 TCP 条目,并认为 ICMP 响应无效。
(我在网络工程中提出了这个问题的原始版本并建议在这里询问)
答案1
IPv4 NAT(准确地说是 SNAT/MASQUERADE)无法在网关模式下关闭。这是消费级互联网网关设备的基本操作模式。
如果可能的话,您必须切换到桥接模式,并从您选择的主机使用 PPPoE 拨号。这样,所选主机(并且只有此主机)将拥有不受过滤的互联网访问权限。
您不会获得额外的地址,这通常是商业合同的一个特点。您的路由器可能无论如何都无法处理它。
被称为 DMZ 的主机实际上是“暴露主机”。它基本上将所有传入端口转发到此主机。当然,这实际上不是 DMZ。