【在Linux世界中追寻伟大的One Piece】NAT|代理服务|内网穿透你会吗?

2024-09-10 08:26:48 浏览数 (2)

1 -> NAT技术背景

NAT技术当前解决IP地址不够用的主要手段,是路由器的一个重要功能。

  • NAT能够将私有IP对外通信时转为全局IP。也就是就是一种将私有IP和全局IP相互转化的技术方法。
  • 很多学校,家庭,公司内部采用每个终端设置私有IP,而在路由器或必要的服务器上设置全局IP。
  • 全局IP要求唯一,但是私有IP不需要;在不同的局域网中出现相同的私有IP是完全不影响。

1.1 -> NAT IP转换过程

  • NAT路由器将源地址从10.0.0.10替换成全局的IP 202.244.174.37。
  • NAT路由器收到外部的数据时,又会把目标IP从202.244.174.37替换回10.0.0.10。
  • 在NAT路由器内部,有一张自动生成的,用于地址转换的表。
  • 当10.0.0.10第一次向163.221.120.9发送数据时就会生成表中的映射关系。

1.2 -> NAPT

那么问题来了,如果局域网内,有多个主机都访问同一个外网服务器,那么对于服务器返回的数据中,目的IP都是相同的。那么NAT路由器如何判定将这个数据包转发给哪个局域网的主机?

这时候NAPT来解决这个问题了。使用IP port来建立这个关联关系。

这种关联关系也是由NAT路由器自动维护的。例如在TCP的情况下,建立连接时,就会生成这个表项;在断开连接后,就会删除这个表项。

1.3 -> NAT技术的缺陷

由于NAT依赖这个转换表,所以有诸多限制。

  • 无法从NAT外部向内部服务器建立连接。
  • 装换表的生成和销毁都需要额外开销。
  • 通信过程中一旦NAT设备异常,即使存在热备,所有的TCP连接也都会断开。
  • 增加延迟:NAT转换数据包报头中的IP地址需要额外的处理时间,这会增加网络交换的延迟。
  • 端到端IP跟踪困难:NAT修改了数据包的源地址和端口号,这使得端到端的IP跟踪变得复杂,影响了某些依赖于此功能的应用程序的正常运行。
  • 应用程序兼容性问题:NAT可能会阻止或干扰一些需要端到端连接的应用程序,如某些安全协议、FTP被动模式等。
  • 安全协议复杂性增加:NAT的使用使得安全协议变得更加复杂,因为NAT设备需要维护IP地址和端口的映射关系,这可能会增加网络的脆弱性。
  • 嵌入式IP地址或端口处理困难:NAT只能修改IP头部和TCP/UDP首部中的地址和端口信息,无法处理嵌入到应用数据部分的IP地址或端口信息,这限制了其在某些应用场景下的使用。
  • NAT穿透问题:在P2P网络或需要设备之间直接通信的场景中,NAT可能导致连接建立困难,尤其是在NAT设备位于另一个NAT设备之后的情况下。

2 -> 代理服务器

2.1 -> 正向代理

2.1.1 -> 概述

正向代理(Forward Proxy)是一种常见的网络代理方式,它位于客户端和目标服务器之间,代表客户端向目标服务器发送请求。正向代理服务器接收客户端的请求,然后将请求转发给目标服务器,最后将目标服务器的响应返回给客户端。通过这种方式,正向代理可以实现多种功能,如提高访问速度、隐藏客户端身份、实施访问控制等。

2.1.2 -> 工作原理
  • 客户端将请求发送给正向代理服务器。
  • 正向代理服务器接收请求,并根据配置进行处理,如缓存查找、内容过滤等。
  • 正向代理服务器将处理后的请求转发给目标服务器。
  • 目标服务器处理请求,并将响应返回给正向代理服务器。
  • 正向代理服务器将响应返回给客户端。
2.1.3 -> 功能特点
  • 缓存功能:正向代理服务器可以缓存经常访问的资源,当客户端再次请求这些资源时,可以直接从缓存中获取,提高访问速度。
  • 内容过滤:正向代理可以根据预设的规则对请求或响应进行过滤,如屏蔽广告、阻止恶意网站等。
  • 访问控制:通过正向代理,可以实现对特定网站的访问控制,如限制员工在工作时间访问娱乐网站。
  • 隐藏客户端身份:正向代理可以隐藏客户端的真实IP地址,保护客户端的隐私。
  • 负载均衡:在多个目标服务器之间分配客户端请求,提高系统的可扩展性和可靠性。
2.1.4 -> 应用场景
  • 企业网络管理:企业可以通过正向代理实现对员工网络访问的管理和控制,确保员工在工作时间内专注于工作,避免访问不良网站或泄露公司机密。
  • 公共网络环境:在公共场所如图书馆、学校等提供的网络环境中,通过正向代理可以实现对网络资源的合理分配和管理,确保网络使用的公平性和安全性。
  • 内容过滤与保护:家长可以通过设置正向代理来过滤不良内容,保护孩子免受网络上的不良信息影响。
  • 提高访问速度:对于经常访问的网站或资源,正向代理可以通过缓存机制提高访问速度,减少网络延迟。
  • 跨境电商与海外访问:对于跨境电商或需要访问海外资源的企业和个人,正向代理可以帮助他们突破网络限制,顺畅地访问海外网站和资源。

2.2 -> 反向代理

2.2.1 -> 概述

反向代理服务器是一种网络架构模式,其作为Web服务器的前置服务器,接收来自客户端的请求,并将这些请求转发给后端服务器,然后将后端服务器的响应返回给客户端。这种架构模式可以提升网站性能、安全性和可维护性等。

2.2.2 -> 基本原理

反向代理服务器位于客户端和Web服务器之间,当客户端发起请求时,它首先会到达反向代理服务器。反向代理服务器会根据配置的规则将请求转发给后端的Web服务器,并将Web服务器的响应返回给客户端。在这个过程中,客户端并不知道实际与哪个Web服务器进行了交互,它只知道与反向代理服务器进行了通信。

2.2.3 -> 应用场景
  • 负载均衡:反向代理服务器可以根据配置的负载均衡策略,将客户端的请求分发到多个后端服务器上,以实现负载均衡。这有助于提升网站的整体性能和响应速度,特别是在高并发场景下。
  • 安全保护:反向代理服务器可以隐藏后端Web服务器的真实IP地址,降低其被直接攻击的风险。同时,它还可以配置防火墙、访问控制列表(ACL)等安全策略,对客户端的请求进行过滤和限制,以保护后端服务器的安全。
  • 缓存加速:反向代理服务器可以缓存后端Web服务器的响应内容,对于重复的请求,它可以直接从缓存中返回响应,而无需再次向后端服务器发起请求。这可以大大减少后端服务器的负载,提升网站的响应速度。
  • 内容过滤和重写:反向代理服务器可以根据配置的规则对客户端的请求进行过滤和重写,例如添加或删除请求头、修改请求路径等。这有助于实现一些特定的业务需求,如URL重写、用户认证等。
  • 动静分离:在大型网站中,通常需要将静态资源和动态资源分开处理。通过将静态资源部署在反向代理服务器上,可以直接从反向代理服务器返回静态资源的响应,而无需再次向后端服务器发起请求。这可以大大提升静态资源的访问速度。
  • CDN(Content Delivery Network,内容分发网络)就是采用了反向代理的原理。

3 -> NAT和代理服务器

路由器往往都具备NAT设备的功能,通过NAT设备进行中转,完成子网设备和其他子网设备的通信过程。

代理服务器看起来和NAT设备有一点像。客户端像代理服务器发送请求,代理服务器将请求转发给真正要请求的服务器;服务器返回结果后,代理服务器又把结果回传给客户端。

那么NAT和代理服务器的区别有哪些呢?

  • 应用上讲,NAT设备是网络基础设备之一,解决的是IP不足的问题。代理服务器则是更贴近具体应用,比如通过代理服务器进行翻墙,另外像迅游这样的加速器,也是使用代理服务器。
  • 底层实现上讲,NAT是工作在网络层,直接对IP地址进行替换。代理服务器往往工作在应用层。
  • 使用范围上讲,NAT一般在局域网的出口部署,代理服务器可以在局域网做,也可以在广域网做,也可以跨网。
  • 部署位置上看,NAT一般集成在防火墙,路由器等硬件设备上,代理服务器则是一个软件程序,需要部署在服务器上。

代理服务器是一种应用比较广的技术。

  • 翻墙:广域网中的代理。
  • 负载均衡:局域网中的代理。

4 -> 内网穿透

内网穿透是一种技术,它允许位于内网中的设备通过互联网被外部网络访问。这种技术通常用于远程访问、云服务集成、物联网设备管理等场景。内网穿透技术可以帮助解决NAT(网络地址转换)带来的端口转发和连接限制问题,使得即使是没有公网IP地址的内网设备也能够被外部访问。

最新的内网穿透技术或工具包括NSmartProxy,这是一款.NET开源、跨平台的内网穿透工具,支持多种协议,并提供了易用的配置和管理界面。此外,还有其他工具如Ngrok和frp,它们提供了不同程度的功能和配置选项,以适应不同用户的需求。

内网穿透技术的实现通常涉及到在内网设备和外部服务器之间建立安全的连接隧道,通过这个隧道可以转发数据包,实现内网服务的外部访问。这种技术的关键优势在于它能够穿透NAT和防火墙限制,提供灵活的远程访问解决方案。

5 -> 总结

数据链路层

数据链路层在OSI模型中负责在相邻节点之间提供可靠的数据传输服务。它的主要作用包括:

  • 帧同步:确保接收方能够从物理层的比特流中识别出帧的起始和终止。
  • 差错检测与纠正:通过循环冗余检查(CRC)等方法检测数据在传输过程中的错误,并在某些情况下进行纠正。
  • 流量控制:防止发送方发送数据的速度超过接收方处理数据的速度。
  • 帧定界:在数据帧的开始和结束处添加特殊的标记,以便正确地识别帧的边界。
  • 帧的透明传输:确保数据链路层能够传输任何形式的数据,而不需要对数据内容进行解释。
  • 帧的寻址:在多点网络中,数据链路层通过MAC地址来识别帧的发送者和接收者。
  • 帧的转发:在网络设备如交换机中,根据帧的目的MAC地址决定如何转发帧。

网络层

网络层在OSI模型中的主要作用是实现网络之间的数据包传输,它负责数据包的寻址、路由选择、分片与重组、差错检测与恢复等功能。网络层通过使用IP协议等来确保数据能够从源主机传输到目的主机,即使它们位于不同的网络中。此外,网络层还提供了面向连接的虚电路服务和无连接的数据报服务,以满足不同应用的需求。

传输层

传输层在OSI模型中的主要作用是确保数据能够可靠、有序、高效地在网络中的源主机和目的主机之间传输。它提供了端到端的通信服务,包括建立、管理和终止传输连接、分段与重组、流量控制、拥塞控制以及差错检测和恢复。传输层的两个关键协议是TCP(传输控制协议)和UDP(用户数据报协议),它们分别提供面向连接的可靠服务和无连接的不可靠服务.

应用层

应用层是OSI模型中的最高层,它直接为用户的应用程序提供服务。应用层的主要作用包括:

  • 提供网络服务:支持各种应用程序的网络通信,如文件传输(FTP)、电子邮件(SMTP)、网页浏览(HTTP)等。
  • 数据表示:处理数据格式的转换、编码和解码,确保不同系统之间的数据可以互相理解和使用。
  • 会话管理:管理应用程序之间的会话,包括会话的建立、维持和终止。
  • 服务发现和广告:帮助用户发现和连接网络服务。

感谢各位大佬支持!!!

互三啦!!!

0 人点赞