NAT、代理服务与内网穿透技术全解析
NAT、代理服务与内网穿透技术全解析
NAT(网络地址转换)、代理服务与内网穿透技术是现代网络通信中的关键技术,它们解决了IP地址短缺、内外网通信以及内网服务对外暴露等问题。本文将全面解析这些技术的核心原理和应用场景,帮助读者深入理解其工作机制。
NAT 技术背景
在IPv4协议中,IP地址数量有限,NAT技术是当前解决IP地址不足的主要手段,也是路由器的一个重要功能。NAT能够将私有IP在对外通信时转换为全局IP,实现私有IP和全局IP的相互转换。很多学校、家庭和公司内部采用每个终端设置私有IP,而在路由器或必要的服务器上设置全局IP。全局IP要求唯一,但私有IP不需要,因此在不同的局域网中可以使用相同的私有IP。
NAT IP 转换过程
NAT IP转换过程主要涉及数据包在内部网络(私有IP地址)和外部网络(公有IP地址)之间的转换,以实现内部网络主机与外部网络主机之间的通信。以下是NAT IP转换的详细过程:
- 数据包从内网发往外网
- 发送数据包:内部网络的主机(源主机)生成一个数据包,该数据包的源IP地址为内部网络的私有IP地址,目的IP地址为外部网络的主机(目标主机)的公有IP地址。
- 地址转换:当数据包到达NAT设备(通常是路由器)时,NAT设备将数据包中的源IP地址(私有IP)和源端口号转换为NAT设备自身的公有IP地址和一个随机或预分配的端口号。这个转换过程会在NAT转换表中记录一条映射关系,以便后续能够正确地将响应数据包发送回内网主机。
- 发送转换后的数据包:NAT设备将转换后的数据包发送到外部网络,此时数据包的源IP地址和源端口号已经变为NAT设备的公有IP地址和相应的端口号。
- 数据包从外网返回内网
- 接收响应数据包:外部网络的目标主机收到数据包后,根据数据包中的目的IP地址(NAT设备的公有IP)和目的端口号进行处理,并生成响应数据包。响应数据包的源IP地址和源端口号为目标主机的公有IP地址和端口号,目的IP地址和目的端口号为NAT设备的公有IP地址和之前转换时使用的端口号。
- 地址转换:当响应数据包到达NAT设备时,NAT设备会查找NAT转换表中与数据包中的目的IP地址和目的端口号相匹配的映射关系。找到后,NAT设备将数据包的目的IP地址和目的端口号转换回内部网络主机的私有IP地址和端口号。
- 发送转换后的响应数据包:NAT设备将转换后的响应数据包发送到内部网络,此时数据包的目的IP地址和目的端口号已经变回内部网络主机的私有IP地址和相应的端口号。
NAT路由器将源地址从10.0.0.10替换成全局的IP 202.244.174.37;NAT路由器收到外部的数据时,又会把目标IP从202.244.174.37替换成10.0.0.10;在NAT路由器内部,有一张自动生成的用于地址转换的表;当10.0.0.10第一次向163.221.120.9发送数据时就会生成表中的映射关系。
NAPT
如果局域网内有多个主机都访问同一个外网服务器,那么对于服务器返回的数据中,目的IP都是相同的。那么NAT路由器如何判定将这个数据包转发给哪个局域网的主机?这时候NAPT来解决这个问题了。使用IP+port来建立这个关联关系。这种关联关系也是由NAT路由器自动维护的。例如在TCP的情况下,建立连接时,就会生成这个表项;在断开连接后,就会删除这个表项。
NAT 技术的缺陷
由于NAT依赖这个转换表,所以有诸多限制:
- 单向通信瓶颈:NAT转换表仅记录内部设备主动发起的连接,外部请求无法直接映射到内部服务器。
- 装换表的生成和销毁都需要额外开销;
- 通信过程中一旦NAT设备异常,即使存在热备,所有的TCP连接也都会断开。
代理服务器
正向代理
正向代理(Forward Proxy)是一种常见的网络代理方式,它位于客户端和目标服务器之间,代表客户端向目标服务器发送请求。正向代理服务器接收客户端的请求,然后将请求转发给目标服务器,最后将目标服务器的响应返回给客户端。通过这种方式,正向代理可以实现多种功能,如提高访问速度、隐藏客户端身份、实施访问控制等。
工作原理
- 客户端将请求发送给正向代理服务器。
- 正向代理服务器接收请求,并根据配置进行处理,如缓存查找、内容过滤等。
- 正向代理服务器将处理后的请求转发给目标服务器。
- 目标服务器处理请求,并将响应返回给正向代理服务器。
- 正向代理服务器将响应返回给客户端。
功能特点
- 缓存功能:正向代理服务器可以缓存经常访问的资源,当客户端再次请求这些资源时,可以直接从缓存中获取,提高访问速度。
- 内容过滤:正向代理可以根据预设的规则对请求或响应进行过滤,如屏蔽广告、阻止恶意网站等。
- 访问控制:通过正向代理,可以实现对特定网站的访问控制,如限制员工在工作时间访问娱乐网站。
- 隐藏客户端身份:正向代理可以隐藏客户端的真实IP地址,保护客户端的隐私。
- 负载均衡:在多个目标服务器之间分配客户端请求,提高系统的可扩展性和可靠性。
应用场景
- 企业网络管理:企业可以通过正向代理实现对员工网络访问的管理和控制,确保员工在工作时间内专注于工作,避免访问不良网站或泄露公司机密。
- 公共网络环境:在公共场所如图书馆、学校等提供的网络环境中,通过正向代理可以实现对网络资源的合理分配和管理,确保网络使用的公平性和安全性。
- 内容过滤与保护:家长可以通过设置正向代理来过滤不良内容,保护孩子免受网络上的不良信息影响。
- 提高访问速度:对于经常访问的网站或资源,正向代理可以通过缓存机制提高访问速度,减少网络延迟。
- 跨境电商与海外访问:对于跨境电商或需要访问海外资源的企业和个人,正向代理可以帮助他们突破网络限制,顺畅地访问海外网站和资源。
反向代理
反向代理服务器是一种网络架构模式,其作为Web服务器的前置服务器,接收来自客户端的请求,并将这些请求转发给后端服务器,然后将后端服务器的响应返回给客户端。这种架构模式可以提升网站性能、安全性和可维护性等。
基本原理
反向代理服务器位于客户端和Web服务器之间,当客户端发起请求时,它首先会到达反向代理服务器。反向代理服务器会根据配置的规则将请求转发给后端的Web服务器,并将Web服务器的响应返回给客户端。在这个过程中,客户端并不知道实际与哪个Web服务器进行了交互,它只知道与反向代理服务器进行了通信。
应用场景
- 负载均衡:反向代理服务器可以根据配置的负载均衡策略,将客户端的请求分发到多个后端服务器上,以实现负载均衡。这有助于提升网站的整体性能和响应速度,特别是在高并发场景下。
- 安全保护:反向代理服务器可以隐藏后端Web服务器的真实IP地址,降低其被接攻击的风险。同时,它还可以配置防火墙、访问控制列表(ACL)等安全策略,对客户端的请求进行过滤和限制,以保护后端服务器的安全。
- 缓存加速:反向代理服务器可以缓存后端Web服务器的响应内容,对于重复的请求,它可以直接从缓存中返回响应,而无需再次向后端服务器发起请求。这可以大大减少后端服务器的负载,提升网站的响应速度。
- 内容过滤和重写:反向代理服务器可以根据配置的规则对客户端的请求进行过滤和重写,例如添加或删除请求头、修改请求路径等。这有助于实现一些特定的业务需求,如URL重写、用户认证等。
- 动静分离:在大型网站中,通常需要将静态资源和动态资源分开处理。通过将静态资源部署在反向代理服务器上,可以直接从反向代理服务器返回静态资源的响应,而无需再次向后端服务器发起请求。这可以大大提升静态资源的访问速度。
- CDN(Content Delivery Network,内容分发网络)就是采用了反向代理的原理
正向代理与反向代理的区别
- 首先,正向代理(Forward Proxy)主要代表客户端向服务器发送请求。它通常用于帮助客户端访问受限资源,或者隐藏客户端的真实IP地址。例如,在企业网络中,正向代理服务器可能被配置为缓存常用网页,加速访问并减少带宽消耗。此外,正向代理也可用于绕过地理限制,访问特定地区的内容。
- 反向代理(Reverse Proxy)则位于服务器端,代表服务器接收客户端的请求。它主要用于负载均衡、提高安全性和增加可靠性。反向代理可以分发请求到多个后端服务器,避免单点故障,并提供SSL加密等功能,增强安全性。同时,反向代理可以缓存静态内容,减轻服务器负载,提升响应速度。
- 在应用场景上,正向代理常用于客户端需要访问外部资源的情况,而反向代理则用于优化和保护服务器端的资源。实现方式上,正向代理需要客户端明确配置代理服务器的地址和端口,而反向代理对客户端透明,客户端只需访问反向代理的公开地址。
- 此外,两者在安全性、性能优化和架构位置等方面存在差异。正向代理强调客户端的隐私和安全,反向代理则侧重于服务器的负载均衡和安全防护。在性能优化方面,正向代理通过缓存减少带宽使用,反向代理通过缓存和负载均衡提高响应速度。
- 总结来说,正向代理和反向代理在功能、应用场景和实现方式上有明显区别。正向代理服务于客户端,提供访问控制和隐私保护;反向代理服务于服务器端,提供负载均衡和安全防护。
NAT 和代理服务器
路由器往往都具备NAT设备的功能,通过NAT设备进行中转,完成子网设备和其他子网设备的通信过程。代理服务器看起来和NAT设备有一点像。客户端像代理服务器发送请求,代理服务器将请求转发给真正要请求的服务器;服务器返回结果后,代理服务器又把结果回传给客户端。那么NAT和代理服务器的区别有哪些呢?
- 从应用上讲,NAT设备是网络基础设备之一,解决的是IP不足的问题。代理服务器则是更贴近具体应用,比如通过代理服务器进行翻墙,另外像迅游这样的加速器,也是使用代理服务器。
- 从底层实现上讲,NAT是工作在网络层,直接对IP地址进行替换。代理服务器往往工作在应用层。
- 从使用范围上讲,NAT一般在局域网的出口部署,代理服务器可以在局域网做,也可以在广域网做,也可以跨网。
- 从部署位置上看,NAT一般集成在防火墙,路由器等硬件设备上,代理服务器则是一个软件程序,需要部署在服务器上。代理服务器是一种应用比较广的技术。
- 翻墙:广域网中的代理。
- 负载均衡:局域网中的代理。
代理服务器又分为正向代理和反向代理。正向代理用于请求的转发(例如借助代理绕过反爬虫)。反向代理往往作为一个缓存。
内网穿透
内网穿透技术的主要目的是绕过NAT限制,让内网服务能被外部访问,常见方法包括反向代理、UPnP、VPN等,各有优缺点,适用不同场景,使用时需注意安全性。
内网打洞
手动部署内网穿透
需要一个云服务器,一台本地主机,与一个不在本地的主机。
环境准备:
首先,下载frp,下载下来它就是一个可执行程序。frp 下载:下载地址
如果下载太慢了,可以使用github提速工具,Watt Toolkit 官网:
然后将该文件远程拷贝到本地主机(虚拟机)上:
这样,云服务器与虚拟机上都有了frp。
下载完后,解压,会出现两个可执行程序与两个对应的配置文件。
如下图:
2.更改配置文件内容。
服务端文件配置
服务端:可以设置其他的选项,这里仅测试。端口号默认是7000,这里改为8888做测试。
运行的时候,如果直接 ./frps运行,使用的是默认的端口号7000,如图:
如果想要使用我们的配置文件,需要带选项 -c指明配置文件路径
./frps -c ./frps.toml
客户端文件配置:
未来就是会通过其他地方的主机(比如学校,公司),来通过云服务器(代理服务器)访问本地主机,实际上是云服务器通过frps把请求转发给本地主机的frpc,实际上在本地主机的内部还需要将frpc收到的请求再一次转发,给本地主机部署的相关服务(这里是sshd,这个服务默认都是启动的,这样就可以远程连接了),所以在本机上实际上还有一次转发的。
当客户端向外提供一个22号端口的服务,但是在公司或其他的主机不知道,只知道云服务器的端口号,所以需要将22号端口映射到云服务器上指定的端口,也就是配置文件中的"remotePort = 6000 ",也就是说,如果其他主机想要访问云服务上的端口6000,此时这个请求就会被转发到本地主机内网的22号端口上。上面的端口号8888,是用来让本地主机frpc与云服务器frps建立连接用的。
到这里就配置完成了。
然后将云服务器上frps程序启动,本地主机frpc启动,这样云服务器与本地主机的连接就建立好了。
可以理解为:当客户端连接服务端8888号端口时,客户端会将自己配置文件中的remoteport推送给服务器,告诉服务器,在服务器中新启一个listen套接字,并绑定端口remoteport 8081,8081端口映射的是本地主机内部的22号端口,未来有主机访问请求8081端口,就通过内网穿透将请求发给本地主机的22号端口。
测试
我们做两个测试
• ssh 远程登录
使用云服务器IP地址与remoteport端口,就可以远程登录本地主机了。
• nginx 远程访问
nginx的安装
sudo yum install nginx # centos 安装
sudo apt install nginx # ubuntu 安装
#启动
$ nginx
#暂停
# nginx -s stop
查看nginx本地绑定的端口:80
我们在本地主机通过浏览器访问端口号 80,
127.0.0.1:80
也可以访问到该服务器上的nginx
本地的nginx服务已经有了,所以只需要更改配置文件,映射一个端口号出去,外网也就可以访问了。
所以,在其他主机上,通过浏览器也可以访问部署到本地主机的nginx服务了。
云服务的ip:映射的端口号8082
nginx 首页默认 apt 安装之后,
首页是:/var/www/html/XXX(index.nginx-debian.html)
可以进入修改首页信息。
服务器和客户端都可以这样在后台启动
nohup ./frpc -c ./frpc.toml &> /dev/null &
nohup ./frps -c ./frps.toml &> /dev/null &
- ./frpc -c ./frpc.toml 就是程序启动指令
- &> /dev/null:这是重定向操作,用于将命令的标准输出(stdout)和标准错误(stderr)都重定向到/dev/null。/dev/null 是一个特殊的设备文件,向它写入的内容都会被丢弃,读取它则会立即返回文件结束。因此,这个操作的作用是忽略命令的所有输出信息。
- 最后一个&,就是将该进程放到后端运行。