为什么我无法从我的公共 IP 访问 SSH，但随机黑客机器人可以？

Question

这是由于无法执行 Hairpin NAT 而导致的常见问题。大多数廉价家用路由器只需打开端口转发即可解决此问题。然而，高端路由器实际上需要单独的规则来解决这个问题。

常规 NAT 规则仅在网络外部有效。如果您尝试从网络内部进行连接，则存在 NAT 问题。

考虑一下这个...

您Server A在本地网络上拥有 IP 10.10.10.10。
您Computer A在本地网络上拥有 IP 10.10.10.20。
您拥有Router A的 IPLAN为10.10.10.1，以及WAN的 IP 为11.11.11.11。
您Computer B的网络外部有 IP 12.12.12.12。
您已从port 22WAN IP 转发至Server A。

从你的网络外部来看，流量如下所示：

计算机 B 尝试连接服务器 A：

Source IP: 12.12.12.12   Src Port: 12345
Destination IP: 11.11.11.11    Dest Port: 22

路由器 A 对数据包进行 NAT 并将其发送到服务器 A：

Source IP: 12.12.12.12   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

服务器A响应计算机B：

Source IP: 10.10.10.10    Src Port: 22
Destination IP: 12.12.12.12   Dest Port: 12345

路由器 A 对数据包进行 NAT 并将其发送到计算机 B：

Source IP: 11.11.11.11   Src Port: 22
Destination IP: 12.12.12.12   Dest Port: 12345

一切按预期运行。现在，考虑同样的场景，但从网络内部来看：

计算机 A 尝试连接服务器 A：

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 11.11.11.11   Dest Port: 22

路由器 A 对数据包进行 NAT 并将其发送到服务器 A：

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

服务器A响应计算机A：

Source IP: 10.10.10.10   Src Port: 22
Destination IP: 10.10.10.20   Dest Port: 12345

源 IP 与目标 IP 位于同一子网。Server A不会将数据包发送回路由器，而是直接将其发送到Computer A。Computer A丢弃数据包，因为它来自10.10.10.10，并且它将原始数据包发送到11.11.11.11。它期望数据包从返回11.11.11.11。

要解决此问题，您必须创建第二条更具体的 NAT 规则来匹配来自网络内部的流量。它将位于原始 NAT 规则之后。您需要执行如下所示的源 NAT：

srcnat src-address=10.10.10.0/24 dst-address=10.10.10.10 dst-port=22 out-interface=LAN action=masquerade

现在，让我们再看一下：

计算机 A 尝试连接服务器 A：

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 11.11.11.11   Dest Port: 22

路由器 A 对数据包进行 NAT 并将其发送到服务器 A：

Source IP: 10.10.10.1   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

服务器A响应计算机A：

Source IP: 10.10.10.10   Src Port: 22
Destination IP: 10.10.10.1   Dest Port: 12345

路由器 A 对数据包进行 NAT 并将其发送到计算机 A：

Source IP: 11.11.11.11   Src Port: 22
Destination IP: 10.10.10.20   Dest Port: 12345

一切按预期进行。

如何实施第二条 NAT 规则取决于路由器硬件和软件。您的情况可能会有所不同。

Answer 1

这是由于无法执行 Hairpin NAT 而导致的常见问题。大多数廉价家用路由器只需打开端口转发即可解决此问题。然而，高端路由器实际上需要单独的规则来解决这个问题。

常规 NAT 规则仅在网络外部有效。如果您尝试从网络内部进行连接，则存在 NAT 问题。

考虑一下这个...

您Server A在本地网络上拥有 IP 10.10.10.10。
您Computer A在本地网络上拥有 IP 10.10.10.20。
您拥有Router A的 IPLAN为10.10.10.1，以及WAN的 IP 为11.11.11.11。
您Computer B的网络外部有 IP 12.12.12.12。
您已从port 22WAN IP 转发至Server A。

从你的网络外部来看，流量如下所示：

计算机 B 尝试连接服务器 A：

Source IP: 12.12.12.12   Src Port: 12345
Destination IP: 11.11.11.11    Dest Port: 22

路由器 A 对数据包进行 NAT 并将其发送到服务器 A：

Source IP: 12.12.12.12   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

服务器A响应计算机B：

Source IP: 10.10.10.10    Src Port: 22
Destination IP: 12.12.12.12   Dest Port: 12345

路由器 A 对数据包进行 NAT 并将其发送到计算机 B：

Source IP: 11.11.11.11   Src Port: 22
Destination IP: 12.12.12.12   Dest Port: 12345

一切按预期运行。现在，考虑同样的场景，但从网络内部来看：

计算机 A 尝试连接服务器 A：

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 11.11.11.11   Dest Port: 22

路由器 A 对数据包进行 NAT 并将其发送到服务器 A：

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

服务器A响应计算机A：

Source IP: 10.10.10.10   Src Port: 22
Destination IP: 10.10.10.20   Dest Port: 12345

源 IP 与目标 IP 位于同一子网。Server A不会将数据包发送回路由器，而是直接将其发送到Computer A。Computer A丢弃数据包，因为它来自10.10.10.10，并且它将原始数据包发送到11.11.11.11。它期望数据包从返回11.11.11.11。

要解决此问题，您必须创建第二条更具体的 NAT 规则来匹配来自网络内部的流量。它将位于原始 NAT 规则之后。您需要执行如下所示的源 NAT：

srcnat src-address=10.10.10.0/24 dst-address=10.10.10.10 dst-port=22 out-interface=LAN action=masquerade

现在，让我们再看一下：

计算机 A 尝试连接服务器 A：

Source IP: 10.10.10.20   Src Port: 12345
Destination IP: 11.11.11.11   Dest Port: 22

路由器 A 对数据包进行 NAT 并将其发送到服务器 A：

Source IP: 10.10.10.1   Src Port: 12345
Destination IP: 10.10.10.10   Dest Port: 22

服务器A响应计算机A：

Source IP: 10.10.10.10   Src Port: 22
Destination IP: 10.10.10.1   Dest Port: 12345

路由器 A 对数据包进行 NAT 并将其发送到计算机 A：

Source IP: 11.11.11.11   Src Port: 22
Destination IP: 10.10.10.20   Dest Port: 12345

一切按预期进行。

如何实施第二条 NAT 规则取决于路由器硬件和软件。您的情况可能会有所不同。

为什么我无法从我的公共 IP 访问 SSH，但随机黑客机器人可以？

答案1

相关内容