《TCP/IP详解 卷一》第7章 防火墙和NAT

7.1 引言

NAT通常改变源IP和源端口,不改变目的IP和目的端口。

7.2 防火墙

常用防火墙:

包过滤防火墙(packet-filter firewall)

代理防火墙(proxy firewall)

代理防火墙作用:

  1. 通过代理服务来代替内网的终端与外网通信。

  2. 进行数据包分析,实现ACL访问控制。

7.2.1 包过滤防火墙

包过滤防火墙分为:

无状态防火墙:单独处理每一个数据包。

有状态防火墙:

记录所有经过报文的连接状态。包括源IP、目标IP、端口号、连接状态(如TCP)、分片信息等。

检测这些状态信息来判断是否允许通过。

7.2.2 代理防火墙

本质是应用层网关(ALG)。

作用:通过代理防火墙实现监控流量,访问控制,日志记录等。

常见代理防火墙:

HTTP代理防火墙。

SOCKS代理防火墙。

HTTP代理防火墙:

外网客户端通过HTTP代理防火墙访问内网Web资源,不直接与Web服务器通信。

Web代理还提供Web缓存功能,降低访问延迟。

SOCKS代理防火墙:

SOCKS:Socket Secure

优点:在客户端与服务器之间建立安全的、匿名的连接。

比HTTP代理更灵活,SOCKS能代理几乎所有流量。

支持认证,如用户名/密码认证。未经授权用户无法使用代理。

7.3 网络地址转换

即NAT。

如果应用层载荷内有IP地址或端口信息,此时NAT转换比较麻烦,如FTP,SIP协议。这需要ALG解决。

FTP和SIP数据连接需要使用动态端口,ALG可解决端口映射问题。

鼓励开发NAT友好的应用协议。

NAPT:网络地址端口转换,即IP源地址+源端口一起转换。

TCP三次握手时,当收到首次SYN包,就生成NAT映射表。收到第三次FIN的ACK后删除NAT映射表。

7.3.1 传统NAT:基本NAT和NAPT

基本NAT:只重写IP地址,但没有减少IP地址需求。

NAPT:使用IP地址+传输层标识符一起转换。

传输层标识:如TCP端口,UDP端口,ICMP查询标识符。

ICMP查询标识符:用于匹配ICMP请求和响应。

NAT与TCP:

路由器收到内网发送的SYN报文时,对SYN报文进行NAT转换,并建立NAT映射表。

路由器收到FIN报文时删除NAT映射表。

NAT和UDP:

收到第一个UDP报文时,对报文进行NAT转换,并建立NAT映射表。

当数据包从内网传输到外网经过NAT就刷新NAT映射表。超时未刷新就清除NAT映射条目。

难点:除了第一个分片,其他分片没有端口信息,所以需要NAT特殊处理甚至虚拟重组分片。

所以,IP分片和IP不分片在穿越NAT时吞吐速率有较大差距。显然不分片速率更高。

而TCP分段后每个TCP段都包含TCP头部,其中包含源目端口信息,因此NAT通常不需要重组TCP分段。CPU负荷小。

NAT和SCTP:

NAT和ICMP:

ICMP有两类报文:信息类,出错类。

出错类:包含引起错误的IP数据包副本,当ICMP出错报文通过NAT时,可根据实际需要是否改写出错报文中IP地址。

信息类:大多数报文类型是查询/响应或C/S模型,使用IP地址+ICMP查询ID共同建立映射。

总结:ICMP报文在NAT转换时,会结合ICMP报文中源目IP地址,ICMP序列号,ICMP查询ID等信息来建立NAT映射表,以区分内网不同主机。

NAT和隧道数据包:

如果隧道数据需要进行NAT,NAT不仅修改IP包头,还需修改隧道内部包头和载荷。

如果有更多层的隧道封装,NAT工作更复杂。

NAT和组播:

NAT也可支持组播,少见,用IGMP代理来增强NAT,到外部数据目的IP地址和端口不会被修改。

NAT和IPv6:

坚决抵制在IPv6中使用NAT。

7.3.2 地址和端口转换行为

NAT地址池:有几个可用的外部IP地址可供NAT转换。

7.3.3 过滤行为

若没有建立NAT映射,就无法转发从外网到内网的流量。

只有内部主机主动向外网发送了报文,创建了映射,才允许外网传入的流量。

这起到一定过滤效果。

7.3.4 位于NAT之后的服务器

从外网经NAT访问内网服务器时,需要主动在NAT路由器上做端口映射/端口转发。

7.3.5 NAT夹发和NAT环回

目前网络需求多样化,我们应当结合实际网络需求,定制NAT配置。

而NAT环回和NAT夹发只是两种典型NAT配置,一般通常用iptables实现。

NAT环回举例:

  1. 当内网主机A访问NAT设备公网IP地址时,NAT设备将请求转发给主机B。这样主机A可访问主机B的服务。

  2. 内网主机访问NAT设备公网IP地址时,NAT设备将流量转发回到NAT路由器本身,以便内部主机访问路由器web服务。

NAT夹发举例:

内网主机访问NAT设备公网IP地址时,NAT设备将流量转发到外网,而返回给内部主机或NAT路由器。

7.3.6 NAT编辑器

当应用层协议包含端口,IP地址等低层信息时,NAT会变得复杂。如SIP协议,P2P(BitTorrent)。

NAT编辑器:

不仅改写IP头的IP地址和TCP/UDP头中的端口号,还修改应用层载荷中包含的IP端口信息。

如果NAT改变了包的应用载荷大小,还更改序列号。

7.3.7 服务提供者NAT和服务提供者IPv6转换

服务提供者NAT:将NAT从客户端移动到ISP端。

7.4 NAT穿越

NAT穿透解决的问题:

因为源IP被NAT转换,导致内网主机IP对外网不可见,造成通信障碍。

对等P2P网络因为NAT设备限制,无法直接通信。

NAT设备导致实时通信应用连接不稳定或高延迟。

NAT设备导致VPN连接失败。

NAT穿越技术常见方法:(后续会详细介绍)

STUN:STUN客户端向STUN服务器请求NAT后公网IP和端口,并确定NAT类型。

TURN:TURN服务器作为中间人,帮助两个客户端建立直接连接,并转发数据流量。

ICE:一种综合NAT穿越技术,结合STUN、TURN和其他协议。通过候选地址、检测网络类型和可用的传输协议等方式,寻找最佳通信路径,实现NAT穿越。

UPnP:向NAT路由器请求打开或关闭某端口,路由器对该端口报文不进行NAT转换,以允许设备直接通信。

7.4.1 针孔和打孔

针孔:

含义:NAT设备的一种工作模式。即NAT在转发数据时临时打开的端口或临时建立的NAT地址映射。

作用:仅允许特定数据流穿过NAT设备,而不是简单将所有数据流都转发到内网。

打孔工作原理:

NAT设备根据特定规则识别需打孔数据流。规则通常基于源IP地址、目标IP、端口等。

当内网主机向外网发送数据时,NAT设备动态为此数据流创建一个NAT映射,并NAT转换该数据流。

NAT设备只允许与该映射相关数据通过,而拒绝未授权数据通过。

一旦数据流完成或超时,动态映射将自动删除,防止潜在安全威胁。

打洞:

含义:一种网络穿透技术。用于两个不同私网主机之间直接通信,而不需要中间服务器转发。

打洞流程举例:

寻找公共节点:两个不同私网主机先尝试连接到一个公共服务器。

交换信息:当两个主机通过公共服务器交换各自私有IP和端口等信息。

建立映射:它们会向各自NAT设备发送数据,使NAT设备为这些数据包创建映射,并允许从外网中 的对等方直接发送数据包到对应私有IP和端口。

保持连接:一旦NAT映射建立成功,两个主机就以通过各自NAT设备直接建立通信连接,而不需经过中间服务器转发。

7.4.2 单边的自地址确定

自地址确定:内网主机使用一系列方法得到其NAT公网IP。

单边的自地址确定:不需要外部服务器或其他设备帮助,即可确定内网主机NAT转换后的公网IP。

7.4.3 NAT的会话穿越工具

NAT穿越:在NAT环境中,使不同私网主机直接建立通信,而不需要中间服务器转发。

STUN:Session Traversal Utilities for NAT

应用层C/S协议,用于确定内网经过NAT设备转换后的公网IP和端口,并通过心跳信息维持当前NAT绑定。

STUN功能包括:

发现NAT类型:内网STUN客户端向STUN服务器发送请求,以确定客户端网络NAT类型。有助于应用程序根据不同NAT类型采取相应策略。

获取公网IP地址和端口:客户端向STUN服务器发送请求,以获得公网IP和端口。

维持NAT映射:客户端定期向STUN服务器发送请求,使设备保持NAT映射关系,避免因为NAT映射超时导致通信中断。

STUN使用场景:对等网络P2P和实时应用。

STUN客户端和STUN服务器之间含有多个NAT设备时,不适合使用STUN,而是使用TURN。

STUN应用层协议可通过UDP、TCP封装。

使用互联网已知STUN服务器足够。

Linux上stun相关实现:

libstun

pjnath:C语言编写的网络穿透库,包括了STUN、TURN和ICE等功能。

7.4.4 利用NAT中继的穿越

TURN:Traversal Using Relays around NAT

适用场景:如两个内网设备位于不同NAT设备后,无法直接建立对等P2P连接,可通过使用TURN中继服务器中转数据流。

TURN服务器:位于公网的服务器,充当中继。两个内网设备都将数据发到TURN服务器,TURN服务器转发给对方设备。

缺点:TURN服务器虽然解决了NAT穿越问题,但增加了网络延迟。

STUN和TURN对比:

STUN:用于发现NAT后的公网IP和NAT类型,帮助建立对等P2P连接,不提供中继服务。

TURN: 当直接对等连接无法建立时,通过TURN中继服务器中转数据流。

7.4.5 交互连接建立

ICE是STUN和TURN的结合,当STUN建立P2P连接失败时,使用TURN。

7.5 配置包过滤防火墙和NAT

7.5.1防火墙规则

每个规则包含:匹配条件,动作(action)

匹配条件:报文的字段(源目IP、源目端口、ICMP类型),方向(direction)

iptables支持:无状态包过滤,有状态包过滤,NAT,NAPT

有状态包过滤:基于连接状态进行过滤,可检查包的状态(如NEW、ESTABLISHED、RELATED、INVALID)来确定是否允许或拒绝包通过。

举例:允许建立新连接的数据包:

iptables -A INPUT -m state --state NEW -j ACCEPT

iptables动作(target,action):可用于执行用户自定义链,或标准ACCEPT,DROP,QUEUE,RETURN

QUEUE:将数据包提交给一个用户程序处理。

iptables -A INPUT -j NFQUEUE --queue-num 23

应用进程通过libnetfilter_queue库函数读取queue-num 23的报文即可。

RETURN:回到之前的链中继续。

7.5.2 NAT 规则

Windows中NAT:互联网连接共享(Internet Connection Sharing, ICS)

Linux中NAT实现:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

masquerade:伪装,NAT转换会自动使用eth1的IP作为源IP。

7.5.3 与NAT和防火墙的直接交互:UPnP、NAT-PMP和PCP

NAT-PMP:NAT端口映射协议。

UPnP:通用即插即用。

UPnP作用:

动态创建端口映射,允许从Internet访问局域网内的服务器。

设备自动发现、设备描述,操作指令。比如手机远程控制空调。

Linux实现:

MiniUPnP开源软件包。

7.6 IPv4/IPv6共存和过渡中的NAT

7.7 与防火墙和NAT相关的攻击

当一个IP数据报被分片时,只有第一个分片包含端口,而其他分片没有。

因为许多老式防火墙没有能力处理IP分片。

解决方法:找到第一个分片(如果有的话),这需要一个有状态防火墙,但可能会资源耗尽攻击。

7.8 总结

代理防火墙:一种应用层网关ALG。每个应用都需要在防火墙上有自己的代理处理程序,以便修改其中载荷。

对于NAT后的内网服务器,需在NAT上主动配置端口转发,以允许外网流量的主动访问。

路由器收到报文后,一般先路由表查找,再NAT。

如果先NAT,后查找路由表,后果:

路由表查找不准确。

连接追踪可能无法正确识别或跟踪连接的状态。

安全问题,未授权报文可能被错误转发到网络中。

相关推荐
qdprobot14 分钟前
ESP32桌面天气摆件加文心一言AI大模型对话Mixly图形化编程STEAM创客教育
网络·人工智能·百度·文心一言·arduino
hakesashou2 小时前
Python中常用的函数介绍
java·网络·python
C++忠实粉丝2 小时前
计算机网络socket编程(4)_TCP socket API 详解
网络·数据结构·c++·网络协议·tcp/ip·计算机网络·算法
九州ip动态2 小时前
做网络推广及游戏注册为什么要换IP
网络·tcp/ip·游戏
Estar.Lee2 小时前
时间操作[取当前北京时间]免费API接口教程
android·网络·后端·网络协议·tcp/ip
蝶开三月2 小时前
php:使用socket函数创建WebSocket服务
网络·websocket·网络协议·php·socket
G丶AEOM2 小时前
SSL/TLS,SSL,TLS分别是什么
网络·网络协议·网络安全
儒道易行2 小时前
【DVWA】RCE远程命令执行实战
网络·安全·网络安全
Koi慢热3 小时前
路由基础(全)
linux·网络·网络协议·安全
hzyyyyyyyu5 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全