P2P在NAT防火墙上穿透.docVIP

本文主要讨论关于P2P通信的一些常见问题和解决方案。主要内容包含：P2P通信与网络设备的关系、不同的网络设备特征对P2P产生的影响、网络地址转换（NAT）的类型、NAT类型的检测方法、协议防火墙的突破方法、隧道技术、对于不同的NAT类型采取的穿透方法。 目前P2P通信在穿透上至少存在着两个问题：防火墙穿透和NAT穿透，两者对于网络访问的限制是处于不同角度而实现的，其中防火墙是基于网络数据传输安全上的考虑，其行为主要表现为对网络协议和访问端口的限制，实际上每种限制都包含了两个方向：进和出。而NAT则是基于网络地址转换的实现对内网主机进行的保护，目前来说NAT的存在至少存在以下两方面的意义：解决IPV4地址 匮乏的问题和保护网内主机的目的，所以即使将来IPV6解决了IP地址数量上的问题，但出于对内网主机的保护，NAT仍然有其存在的必要。 综上所述，要实现一个完善的P2P程序必须至少突破以上两个方面的限制，当然，实际情况会存在一些无法突破的情况，比如双方都是对称型NAT或对称型与端口限制型NAT的通信，对于此类问题在实际开发时可使用服务器转发或代理服务来处理。文中所提到的P2P通信意为：使用服务器来转发并处理控制信令，客户端结点间直接通信。 特别指出下文中某些地方会使用FW替代“防火墙”，NAT替代“网络地址（端口）转换”。 分类 现在、而今、眼目下~~~~NAT共分为两大类：Cone NAT和Symmetric NAT。Cone NAT指的是只要源IP端口不变，无论发往的目的IP是否相同，在NAT上都映射为同一个端口，形象的看来就像锥子一样，而Symmetric NAT对于发往不同目的IP的会话在NAT上将映射为不同的端口，也就是不同的会话。 其中Cone NAT又可细分为3类，分别是Full Cone型、Restricted Cone型和Restricted Port Cone。限制的严格程度和对局域网内主机的保护由松到紧依次为：Full Cone、Restricted Cone、Restricted Port Cone、Symmetric NAT。 这里“限制”指的是NAT对由外到内的数据包进行审查、过滤，看看数据包的源地址和他发送到的“洞”是否有关系，如果没有那么就将其丢弃（说到这里我忽然想起来可不可以使用原始套接字来伪造一个和这个“洞”有关系的UDP包呢？啊哈哈），NAT是不会对自内而外的数据包进行限制的，那是防火墙的事情。 “由松到紧”指后者不仅继承了前者在限制上的特性，而且自己还添油加醋的干了些坏事，以至于对“由外到内”的数据包比前者有着更严格的限制。例如Restricted Cone限制了外部进入内部的IP，使得只有被打洞IP发出的数据包才允许进入NAT，而Restricted Port Cone不但限制了IP，还限制了端口，使得只有被打洞的IP:PORT才能往这个洞里发送数据，其他任何来自不同于被打洞地址（IP:PORT）的数据包都不能使用这个洞将数据发送到NAT之后。 NAT对会话的映射 这里列出NAT对于内网地址映射到外网地址的一些普遍规律，可将其分为4种情况，以下的Session即为通信双方的链接，具体表现为在NAT上映射的外网IP:PORT。关于本节内容可详见：A Look Inside Network Address Translators ? A.?????? 源IP不同，忽略其他因素，将映射为不同的Session B.??????? 源IP相同，源端口不同，将映射为不同的Session C.??????? 源IP相同，源端口相同，目的IP相同，目的端口不同，将映射为相同的Session D.?????? 源IP相同，源端口相同，目的IP不同，忽略目的端口，对于不同的NAT可分为不同的情况 a)???????? Cone NAT：将映射为相同的Session b)??????? Symmetric NAT：将映射为不同的Session ? 以下对四种NAT类型分别予以说明： 全锥形NAT IP、端口都不受限。只要客户端由内到外打通一个洞之后（NatIP:NatPort - A:P1），其他IP的主机(B)或端口(A:P2)都可以使用这个洞发送数据到客户端。 映射关系为：Client-NatIP:NatPort-Any，即任何外部主机都可通过NatIP:NatPort发送数据到Clietn上。 ? 受限锥形NAT IP受限，端口不受限。当客户端由内到外打通一个洞之后(NatIP:NatPort - A:P1)，A机器可以使用他的其他端口（P2）主动连接客户端，但B机器则不被允许。 映射关系为：Client- NatIP:NatPort-A，即只有来自A的数据包才能通过NatIP:NatPort发送到Cl