7.1 引言
NAT通常改变源IP和源端口,不改变目的IP和目的端口。
7.2 防火墙
常用防火墙:
包过滤防火墙(packet-filter firewall)
代理防火墙(proxy firewall)
代理防火墙作用:
-
通过代理服务来代替内网的终端与外网通信。
-
进行数据包分析,实现ACL访问控制。
7.2.1 包过滤防火墙
包过滤防火墙分为:
无状态防火墙:单独处理每一个数据包。
有状态防火墙:
记录所有经过报文的连接状态。包括源IP、目标IP、端口号、连接状态(如TCP)、分片信息等。
检测这些状态信息来判断是否允许通过。
7.2.2 代理防火墙
本质是应用层网关(ALG)。
作用:通过代理防火墙实现监控流量,访问控制,日志记录等。
常见代理防火墙:
HTTP代理防火墙。
SOCKS代理防火墙。
HTTP代理防火墙:
外网客户端通过HTTP代理防火墙访问内网Web资源,不直接与Web服务器通信。
Web代理还提供Web缓存功能,降低访问延迟。
SOCKS代理防火墙:
SOCKS:Socket Secure
优点:在客户端与服务器之间建立安全的、匿名的连接。
比HTTP代理更灵活,SOCKS能代理几乎所有流量。
支持认证,如用户名/密码认证。未经授权用户无法使用代理。
7.3 网络地址转换
即NAT。
如果应用层载荷内有IP地址或端口信息,此时NAT转换比较麻烦,如FTP,SIP协议。这需要ALG解决。
FTP和SIP数据连接需要使用动态端口,ALG可解决端口映射问题。
鼓励开发NAT友好的应用协议。
NAPT:网络地址端口转换,即IP源地址+源端口一起转换。
TCP三次握手时,当收到首次SYN包,就生成NAT映射表。收到第三次FIN的ACK后删除NAT映射表。
7.3.1 传统NAT:基本NAT和NAPT
基本NAT:只重写IP地址,但没有减少IP地址需求。
NAPT:使用IP地址+传输层标识符一起转换。
传输层标识:如TCP端口,UDP端口,ICMP查询标识符。
ICMP查询标识符:用于匹配ICMP请求和响应。
NAT与TCP:
路由器收到内网发送的SYN报文时,对SYN报文进行NAT转换,并建立NAT映射表。
路由器收到FIN报文时删除NAT映射表。
NAT和UDP:
收到第一个UDP报文时,对报文进行NAT转换,并建立NAT映射表。
当数据包从内网传输到外网经过NAT就刷新NAT映射表。超时未刷新就清除NAT映射条目。
难点:除了第一个分片,其他分片没有端口信息,所以需要NAT特殊处理甚至虚拟重组分片。
所以,IP分片和IP不分片在穿越NAT时吞吐速率有较大差距。显然不分片速率更高。
而TCP分段后每个TCP段都包含TCP头部,其中包含源目端口信息,因此NAT通常不需要重组TCP分段。CPU负荷小。
NAT和SCTP:
NAT和ICMP:
ICMP有两类报文:信息类,出错类。
出错类:包含引起错误的IP数据包副本,当ICMP出错报文通过NAT时,可根据实际需要是否改写出错报文中IP地址。
信息类:大多数报文类型是查询/响应或C/S模型,使用IP地址+ICMP查询ID共同建立映射。
总结:ICMP报文在NAT转换时,会结合ICMP报文中源目IP地址,ICMP序列号,ICMP查询ID等信息来建立NAT映射表,以区分内网不同主机。
NAT和隧道数据包:
如果隧道数据需要进行NAT,NAT不仅修改IP包头,还需修改隧道内部包头和载荷。
如果有更多层的隧道封装,NAT工作更复杂。
NAT和组播:
NAT也可支持组播,少见,用IGMP代理来增强NAT,到外部数据目的IP地址和端口不会被修改。
NAT和IPv6:
坚决抵制在IPv6中使用NAT。
7.3.2 地址和端口转换行为
NAT地址池:有几个可用的外部IP地址可供NAT转换。
7.3.3 过滤行为
若没有建立NAT映射,就无法转发从外网到内网的流量。
只有内部主机主动向外网发送了报文,创建了映射,才允许外网传入的流量。
这起到一定过滤效果。
7.3.4 位于NAT之后的服务器
从外网经NAT访问内网服务器时,需要主动在NAT路由器上做端口映射/端口转发。
7.3.5 NAT夹发和NAT环回
目前网络需求多样化,我们应当结合实际网络需求,定制NAT配置。
而NAT环回和NAT夹发只是两种典型NAT配置,一般通常用iptables实现。
NAT环回举例:
-
当内网主机A访问NAT设备公网IP地址时,NAT设备将请求转发给主机B。这样主机A可访问主机B的服务。
-
内网主机访问NAT设备公网IP地址时,NAT设备将流量转发回到NAT路由器本身,以便内部主机访问路由器web服务。
NAT夹发举例:
内网主机访问NAT设备公网IP地址时,NAT设备将流量转发到外网,而返回给内部主机或NAT路由器。
7.3.6 NAT编辑器
当应用层协议包含端口,IP地址等低层信息时,NAT会变得复杂。如SIP协议,P2P(BitTorrent)。
NAT编辑器:
不仅改写IP头的IP地址和TCP/UDP头中的端口号,还修改应用层载荷中包含的IP端口信息。
如果NAT改变了包的应用载荷大小,还更改序列号。
7.3.7 服务提供者NAT和服务提供者IPv6转换
服务提供者NAT:将NAT从客户端移动到ISP端。
7.4 NAT穿越
NAT穿透解决的问题:
因为源IP被NAT转换,导致内网主机IP对外网不可见,造成通信障碍。
对等P2P网络因为NAT设备限制,无法直接通信。
NAT设备导致实时通信应用连接不稳定或高延迟。
NAT设备导致VPN连接失败。
NAT穿越技术常见方法:(后续会详细介绍)
STUN:STUN客户端向STUN服务器请求NAT后公网IP和端口,并确定NAT类型。
TURN:TURN服务器作为中间人,帮助两个客户端建立直接连接,并转发数据流量。
ICE:一种综合NAT穿越技术,结合STUN、TURN和其他协议。通过候选地址、检测网络类型和可用的传输协议等方式,寻找最佳通信路径,实现NAT穿越。
UPnP:向NAT路由器请求打开或关闭某端口,路由器对该端口报文不进行NAT转换,以允许设备直接通信。
7.4.1 针孔和打孔
针孔:
含义:NAT设备的一种工作模式。即NAT在转发数据时临时打开的端口或临时建立的NAT地址映射。
作用:仅允许特定数据流穿过NAT设备,而不是简单将所有数据流都转发到内网。
打孔工作原理:
NAT设备根据特定规则识别需打孔数据流。规则通常基于源IP地址、目标IP、端口等。
当内网主机向外网发送数据时,NAT设备动态为此数据流创建一个NAT映射,并NAT转换该数据流。
NAT设备只允许与该映射相关数据通过,而拒绝未授权数据通过。
一旦数据流完成或超时,动态映射将自动删除,防止潜在安全威胁。
打洞:
含义:一种网络穿透技术。用于两个不同私网主机之间直接通信,而不需要中间服务器转发。
打洞流程举例:
寻找公共节点:两个不同私网主机先尝试连接到一个公共服务器。
交换信息:当两个主机通过公共服务器交换各自私有IP和端口等信息。
建立映射:它们会向各自NAT设备发送数据,使NAT设备为这些数据包创建映射,并允许从外网中 的对等方直接发送数据包到对应私有IP和端口。
保持连接:一旦NAT映射建立成功,两个主机就以通过各自NAT设备直接建立通信连接,而不需经过中间服务器转发。
7.4.2 单边的自地址确定
自地址确定:内网主机使用一系列方法得到其NAT公网IP。
单边的自地址确定:不需要外部服务器或其他设备帮助,即可确定内网主机NAT转换后的公网IP。
7.4.3 NAT的会话穿越工具
NAT穿越:在NAT环境中,使不同私网主机直接建立通信,而不需要中间服务器转发。
STUN:Session Traversal Utilities for NAT
应用层C/S协议,用于确定内网经过NAT设备转换后的公网IP和端口,并通过心跳信息维持当前NAT绑定。
STUN功能包括:
发现NAT类型:内网STUN客户端向STUN服务器发送请求,以确定客户端网络NAT类型。有助于应用程序根据不同NAT类型采取相应策略。
获取公网IP地址和端口:客户端向STUN服务器发送请求,以获得公网IP和端口。
维持NAT映射:客户端定期向STUN服务器发送请求,使设备保持NAT映射关系,避免因为NAT映射超时导致通信中断。
STUN使用场景:对等网络P2P和实时应用。
STUN客户端和STUN服务器之间含有多个NAT设备时,不适合使用STUN,而是使用TURN。
STUN应用层协议可通过UDP、TCP封装。
使用互联网已知STUN服务器足够。
Linux上stun相关实现:
libstun
pjnath:C语言编写的网络穿透库,包括了STUN、TURN和ICE等功能。
7.4.4 利用NAT中继的穿越
TURN:Traversal Using Relays around NAT
适用场景:如两个内网设备位于不同NAT设备后,无法直接建立对等P2P连接,可通过使用TURN中继服务器中转数据流。
TURN服务器:位于公网的服务器,充当中继。两个内网设备都将数据发到TURN服务器,TURN服务器转发给对方设备。
缺点:TURN服务器虽然解决了NAT穿越问题,但增加了网络延迟。
STUN和TURN对比:
STUN:用于发现NAT后的公网IP和NAT类型,帮助建立对等P2P连接,不提供中继服务。
TURN: 当直接对等连接无法建立时,通过TURN中继服务器中转数据流。
7.4.5 交互连接建立
ICE是STUN和TURN的结合,当STUN建立P2P连接失败时,使用TURN。
7.5 配置包过滤防火墙和NAT
7.5.1防火墙规则
每个规则包含:匹配条件,动作(action)
匹配条件:报文的字段(源目IP、源目端口、ICMP类型),方向(direction)
iptables支持:无状态包过滤,有状态包过滤,NAT,NAPT
有状态包过滤:基于连接状态进行过滤,可检查包的状态(如NEW、ESTABLISHED、RELATED、INVALID)来确定是否允许或拒绝包通过。
举例:允许建立新连接的数据包:
iptables -A INPUT -m state --state NEW -j ACCEPT
iptables动作(target,action):可用于执行用户自定义链,或标准ACCEPT,DROP,QUEUE,RETURN
QUEUE:将数据包提交给一个用户程序处理。
iptables -A INPUT -j NFQUEUE --queue-num 23
应用进程通过libnetfilter_queue库函数读取queue-num 23的报文即可。
RETURN:回到之前的链中继续。
7.5.2 NAT 规则
Windows中NAT:互联网连接共享(Internet Connection Sharing, ICS)
Linux中NAT实现:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
masquerade:伪装,NAT转换会自动使用eth1的IP作为源IP。
7.5.3 与NAT和防火墙的直接交互:UPnP、NAT-PMP和PCP
NAT-PMP:NAT端口映射协议。
UPnP:通用即插即用。
UPnP作用:
动态创建端口映射,允许从Internet访问局域网内的服务器。
设备自动发现、设备描述,操作指令。比如手机远程控制空调。
Linux实现:
MiniUPnP开源软件包。
7.6 IPv4/IPv6共存和过渡中的NAT
7.7 与防火墙和NAT相关的攻击
当一个IP数据报被分片时,只有第一个分片包含端口,而其他分片没有。
因为许多老式防火墙没有能力处理IP分片。
解决方法:找到第一个分片(如果有的话),这需要一个有状态防火墙,但可能会资源耗尽攻击。
7.8 总结
代理防火墙:一种应用层网关ALG。每个应用都需要在防火墙上有自己的代理处理程序,以便修改其中载荷。
对于NAT后的内网服务器,需在NAT上主动配置端口转发,以允许外网流量的主动访问。
路由器收到报文后,一般先路由表查找,再NAT。
如果先NAT,后查找路由表,后果:
路由表查找不准确。
连接追踪可能无法正确识别或跟踪连接的状态。
安全问题,未授权报文可能被错误转发到网络中。