NAT/PAT 理论问题

Question 1

在 Cisco 路由器上，您可以执行以下操作：

ip nat 日志翻译 syslog

日志记录 <系统日志服务器 IP>

这将导致每个翻译都发送到系统日志服务器。条目将如下所示：

4月29日 21:25:06 rgw-01 233：000238：4月29日 21：25：05.858 EDT：%IPNAT-6-CREATED：tcp 192.168.0.254：56334 68.175.123.94：56334 1.1.1.1：80 1.1.1.1：80

它与路由器上“show ip nat Translation”的输出相同。当转换被创建和删除时，您应该会收到日志消息。

Answer

在 Cisco 路由器上，您可以执行以下操作：

ip nat 日志翻译 syslog

日志记录 <系统日志服务器 IP>

这将导致每个翻译都发送到系统日志服务器。条目将如下所示：

4月29日 21:25:06 rgw-01 233：000238：4月29日 21：25：05.858 EDT：%IPNAT-6-CREATED：tcp 192.168.0.254：56334 68.175.123.94：56334 1.1.1.1：80 1.1.1.1：80

它与路由器上“show ip nat Translation”的输出相同。当转换被创建和删除时，您应该会收到日志消息。

Question 2

您所要做的就是查看 nat 设备上的当前 nat 转换表，以查看 IP 映射到哪个端口。例如，在 Cisco 路由器 192.168.1.82 上，通过 pat 连接到 google 的公共 IP 12.12.12.12：

router1#show ip nat trans 
tcp 12.12.12.12:33949  192.168.1.82:33949 66.249.80.104:80 66.249.80.104:80

更新：
我想我现在明白了。我不知道这方面的任何实现，但我不明白为什么它不起作用。理论上，您可以将每个内部 IP 映射到不同的端口范围。由于过载将内部 ip/tcp 源端口组合转换为外部 ip/tcp 源端口，因此您可以为每个内部 IP 分配某些外部源端口范围（先前的端口也可以是 udp 端口）。例如：

32000-33999 public ip's tcp/udp src ports on ip 12.12.12.12. will be used for 192.168.1.2
34000-35999 public tcp/udp ports on ip 12.12.12.12. will be used for 192.168.1.3

过载的问题在于您开始限制可能的连接，因为您将其限制为 3 个，而不是使用正常的 4 个项目组合来标识会话（源 IP、源端口、目标 IP、目标端口）。因此，当您通过限制端口范围进一步限制其中一个时，您就限制了会话数。所以在我上面的例子中，您的 IP 192.168.1.2 最多只能与任何特定的公共 IP 建立 2000 个连接。我也不知道过载代码是否像这样工作，因为它可能只使用源端口进行转换，而不是使用源端口/源 IP（这里讨论的是返回数据包）来加快速度。

也许你可以用序列号技巧来解决这个问题，但我认为这需要大量 tcp 重做，并打开安全漏洞。如果已经实施了这一点，我会有点惊讶。我认为 NAT 是一种黑客手段，可以帮助解决 ip 短缺问题。PAT/Overload 是这种黑客手段的进一步黑客手段，使其成为黑客手段中的黑客手段。开始通过序列号识别会话将是黑客手段中的黑客手段中的黑客手段。在这一点上，它是真的IPv6 时代已经来临 :-)

Answer

您所要做的就是查看 nat 设备上的当前 nat 转换表，以查看 IP 映射到哪个端口。例如，在 Cisco 路由器 192.168.1.82 上，通过 pat 连接到 google 的公共 IP 12.12.12.12：

router1#show ip nat trans 
tcp 12.12.12.12:33949  192.168.1.82:33949 66.249.80.104:80 66.249.80.104:80

更新：
我想我现在明白了。我不知道这方面的任何实现，但我不明白为什么它不起作用。理论上，您可以将每个内部 IP 映射到不同的端口范围。由于过载将内部 ip/tcp 源端口组合转换为外部 ip/tcp 源端口，因此您可以为每个内部 IP 分配某些外部源端口范围（先前的端口也可以是 udp 端口）。例如：

32000-33999 public ip's tcp/udp src ports on ip 12.12.12.12. will be used for 192.168.1.2
34000-35999 public tcp/udp ports on ip 12.12.12.12. will be used for 192.168.1.3

过载的问题在于您开始限制可能的连接，因为您将其限制为 3 个，而不是使用正常的 4 个项目组合来标识会话（源 IP、源端口、目标 IP、目标端口）。因此，当您通过限制端口范围进一步限制其中一个时，您就限制了会话数。所以在我上面的例子中，您的 IP 192.168.1.2 最多只能与任何特定的公共 IP 建立 2000 个连接。我也不知道过载代码是否像这样工作，因为它可能只使用源端口进行转换，而不是使用源端口/源 IP（这里讨论的是返回数据包）来加快速度。

也许你可以用序列号技巧来解决这个问题，但我认为这需要大量 tcp 重做，并打开安全漏洞。如果已经实施了这一点，我会有点惊讶。我认为 NAT 是一种黑客手段，可以帮助解决 ip 短缺问题。PAT/Overload 是这种黑客手段的进一步黑客手段，使其成为黑客手段中的黑客手段。开始通过序列号识别会话将是黑客手段中的黑客手段中的黑客手段。在这一点上，它是真的IPv6 时代已经来临 :-)

Question 3

好的，如果这只是为了从您的网络进行常规出站访问，那么您真正需要的只是一个标准的 NAT-T + DHCP 盒。使用 DHCP，您可以执行静态 DHCP，也可以设置较长的租约时间，以便内部的机器保持相同的地址。然后您就可以始终知道谁是谁。

当您仅进行一般出站访问时，使用公共端的端口来识别内部机器的问题在于，返回端口将在用户连接的服务器上随机生成。因此无法真正跟踪或猜测返回端口是什么。

如果您正在进行入站连接，那么您只需设置 PAT/端口转发到所选的内部地址，但这里的情况并非如此。

至于解决方案，市场上几乎任何产品都可以做到这一点，您还可以在 Linux 上设置 IPtables + dhcpd，或者在 BSD 机器上设置 PF + dhcpd 解决方案。

Answer

好的，如果这只是为了从您的网络进行常规出站访问，那么您真正需要的只是一个标准的 NAT-T + DHCP 盒。使用 DHCP，您可以执行静态 DHCP，也可以设置较长的租约时间，以便内部的机器保持相同的地址。然后您就可以始终知道谁是谁。

当您仅进行一般出站访问时，使用公共端的端口来识别内部机器的问题在于，返回端口将在用户连接的服务器上随机生成。因此无法真正跟踪或猜测返回端口是什么。

如果您正在进行入站连接，那么您只需设置 PAT/端口转发到所选的内部地址，但这里的情况并非如此。

至于解决方案，市场上几乎任何产品都可以做到这一点，您还可以在 Linux 上设置 IPtables + dhcpd，或者在 BSD 机器上设置 PF + dhcpd 解决方案。

NAT/PAT 理论问题

答案1

答案2

答案3

相关内容