NAT过滤功能可以让NAT设备对外网发到内网的流量进行过滤;NAT映射功能可以让内部网络中的一组主机通过NAT映射表映射到一个外部IP地址,共享这一个IP地址,所有不同的信息流看起来好像来源于同一个IP地址。
NAT过滤
NAT过滤是指NAT设备对外网发到内网的流量进行过滤,包括三种类型:
• 与外部地址无关的NAT过滤行为
• 与外部地址相关的NAT过滤行为
• 与外部地址和端口都相关的NAT过滤行为
场景应用如图1所示:
上图中,私网用户PC–1通过NAT设备与外网用户PC–2、PC–3进行通信。数据报文1代表私网主机PC-1访问公网PC-2,PC-1使用的端口号为1111,访问PC-2的端口2222;经过NAT设备时,源IP转换为202.169.10.1。
当私网主机向某公网主机发起访问后,公网主机发向私网主机的流量经过NAT设备时需要进行过滤。数据报文2、数据报文3和数据报文4代表三种场景,分别对应上述三种NAT过滤类型:
• 数据报文2代表公网主机PC-3(与报文1的目的地址不同)访问私网主机PC-1,目的端口号为1111,只有配置了外部地址无关的NAT过滤行为,才允许此报文通过,否则被NAT设备过滤掉。
• 数据报文3代表公网服务器PC-2(与报文1的目的地址相同)访问私网主机PC-1,目的端口号为1111,源端口号为3333(与报文1的目的端口不同),只有配置了外部地址相关的NAT过滤行为或者配置了外部地址无关的NAT过滤行为,才允许此报文通过,否则被NAT设备过滤掉。
• 数据报文4代表公网服务器PC-2(与报文1的目的地址相同)访问私网主机PC-1,目的端口号为1111,源端口号为2222(与报文1的目的端口相同),这属于外部地址和端口都相关的NAT过滤行为,是缺省的过滤行为,不配置或者配置任何类型的NAT过滤行为,都允许此报文通过,不会被过滤掉。
路由器支持如上三种类型的NAT过滤行为。
NAT映射
在Internet中使用NAT映射功能,所有不同的信息流看起来好像来源于同一个IP地址。因为NAT映射使得一组主机可以共享唯一的外部地址,当位于内部网络中的主机通过NAT设备向外部主机发起会话请求时,NAT设备就会查询NAT表,看是否有相关会话记录,如果有相关记录,就会将内部IP地址及端口同时进行转换,再转发出去;如果没有相关记录,进行IP地址和端口转换的同时,还会在NAT表增加一条该会话的记录。NAT映射是NAT设备对内网发到外网的流量进行映射。包括以下三种类型:
• 外部地址无关的映射:对相同的内部IP和端口重用相同的地址端口映射。
• 外部地址相关的映射:对相同的内部IP地址和端口访问相同的外部IP地址时重用相同的端口映射。
• 外部地址和端口相关的映射:对相同的内部IP地址和端口号访问相同的外部IP地址和端口号重用相同的端口映射(如果此映射条目还处在活动状态)。
路由器支持外部地址无关、外部地址和端口相关的映射。
