Nat分为对称型Nat和圆锥型Nat,圆锥型又分为:端口受限,IP受限,Full Cone(完全圆锥)。
详解
https://chat.deepseek.com/share/qe62g2may1a9i0znl7
问题:为什么FTP可以通过配置ASPF穿越防火墙,而TFTP不行?
https://chat.deepseek.com/share/g3jpzu1k8dgfbia3h9
端口受限圆锥型跟对称型NAT的区别(TFTP举例)
https://chat.deepseek.com/share/jvili274hp7wce6bf3
Full Cone NAT (TFTP举例)
https://chat.deepseek.com/share/pbpkyc4kndn3urks2u
TFTP穿越NAT原理
配置
nat策略下调用
安全策略也要放行
使用TFTP上传文件,查看server map表
安全策略只需要写一边就够了,因为后面使用的是完全圆锥型NAT进来的,因为完全圆锥型NAT出去的时候就会生成server map表,这个server map表可以让后续的流量绕过安全策略的检查,所以不用写回来的方向。
如果不用完全圆锥型NAT,就需要再放行untrust到trust的一个UDP流量,其实并不知道回来的端口号是什么,回来的端口是随机的,所以都要放行,不然回不来。
Full Cone NAT的安全风险
https://chat.deepseek.com/share/hwgnvxcntcn3mqdi7x
Full Cone Nat必须要内部自己先主动出去,才会留下打洞信息
https://chat.deepseek.com/share/fph0e0c0ssidvgw8ak