这是一个创建于 253 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现 NAT 这东西挺好用啊,做一层 nat ,不做端口映射,后面的服务器基本不用担心来自公网的爆破了。
第 1 条附言 252 天前
感谢各位的分享和指点. 这里虽然只提了NAT, 但是也使用了其他技术, 诸如通过 IPsec(IKEv2) 连接内网组网等等.
至于GRE over IPsec, 构建DMVPN运行动态路由协议OSPF/EIGRP 这种倒是没有做, 主要原因还是身后的站点没有那么庞大, 暂时使用静态路由解决了.
第 2 条附言 252 天前
再次感谢分享和建议.
发现个别朋友的讨论有点跑偏了, NAT 和 反向代理 的区别还是很大的.
这里使用 NAT(Symmetric NAT) 的主要目的不是为了向外(互联网)提供服务, 相反是为了阻隔来自互联网的恶意攻击, 同时给予内部服务器一定的公网访问能力.
防火墙 + IPsec + NAT 这一系列操作都是为了保障安全性. “抛开安全性不谈” 就有点不合适了, 毕竟此帖是发布在“信息安全”主题下.
如 @wheat0r所说, 即便是 IPv6 这种不缺地址的情况, 其公司都会做 NAT66.
这种情形下, 首要的目的是保障安全性, 其次是连通性/可达性/便捷性等等.
发现个别朋友的讨论有点跑偏了, NAT 和 反向代理 的区别还是很大的.
这里使用 NAT(Symmetric NAT) 的主要目的不是为了向外(互联网)提供服务, 相反是为了阻隔来自互联网的恶意攻击, 同时给予内部服务器一定的公网访问能力.
防火墙 + IPsec + NAT 这一系列操作都是为了保障安全性. “抛开安全性不谈” 就有点不合适了, 毕竟此帖是发布在“信息安全”主题下.
如 @wheat0r所说, 即便是 IPv6 这种不缺地址的情况, 其公司都会做 NAT66.
这种情形下, 首要的目的是保障安全性, 其次是连通性/可达性/便捷性等等.
 | 1 pathletboy 253 天前 via Android nat 减速,不如开个防火墙更灵活。 |
 | 2 wheat0r 253 天前  1 本来就好用啊,结合防火墙策略使用有很好的隔离效果。 我们公司即便 IPv6 也是做要 NAT66 的。 但是单独使用 NAT 是没有你以为的安全性的。 |
 | 3 itechify PRO web 服务可以用反向代理,没必要 nat ,特殊的开防火墙 |
 | 4 BeautifulSoap 253 天前 via Android 其实,本质上来说,NAT 就是防火墙的一种形式。。。。。。 |
 | 5 flyqie 253 天前 via Android 坏消息是对 p2p 也会有一定影响,不同 nat 锥形对 p2p 打洞的影响是不一样的。 |
 | 6 churchmice 253 天前 via Android 那你穿 10 层 nat,岂不是天下无敌 |
 | 7 coolcoffee 253 天前 op 没说到点子上,企业级路由器一条规则就可以丢弃来自外部的请求流量。 NAT 是需要映射表来做流量转发,这个在连接量大的时候就会成为瓶颈。早期的光猫拨号性能不足就是这种情况,所以大家基本上做的第一件事情就是改成桥接。 |
 | 9 Yuanlaoer 253 天前 @churchmice 哈哈哈哈笑死了 |
 | 10 hefish 253 天前 将来您还会发现更多好用的,比如 GRE ,OSPF ,IP 。。。 |
 | 12 rebeccaMyKid 253 天前 @pathletboy 你确定吗?我上个月刚做了简单的测试,家里路由器加一层 NAT ,延迟差别根本无感,网速也没问题。所以减速在哪? |
 | 13 nomagick 253 天前 ? 和 NAT 没关系,是存储转发的基本通信方式, 你的包从我手上过,我把它递给下一条还是随手扔了,那还不是我说了算吗, |
 | 14 est 252 天前 不穿衣服住山洞里的确挺舒服的。前提只要你一辈子不用出去。 |
 | 15 Donaldo 252 天前 @rebeccaMyKid #12 包多了转发的时候比较考验设备,当然家庭没所谓了。不过防火墙也一样有这个问题。。。 |
| 16 Donaldo 252 天前 @rebeccaMyKid #12 一个是包多,另一个是网络带机量大,NAT 表复杂 |
| 18 wheat0r 252 天前 3 @kaedeair #17 一些场景下,组织的出口是动态 IPv6 前缀,而内部有多个子网,想把动态的地址通过 DHCPv6 正常分配到不同子网里,配置会比较麻烦,而且三层交换机上的接口地址前缀可能会不可控。总的来说,越复杂的内部网络越可能要用 ULA ,那么出口就要做 NAT66 。 |
 | 19 lslqtz 252 天前 1 @flyqie 即使是 Full cone NAT 也能防止公网的爆破, 因为往往要求内网设备主动打洞. 而且企业网络通常不要求可能不允许员工进行 P2P, 如果是特殊需求那么肯定是能配置网关的. |
 | 20 bclerdx 252 天前 @coolcoffee 请问什么是桥接呢? |
 | 21 cpstar 252 天前 那你需要的不是 NAT ,而是反代。。。。 |
 | 22 TellMeWHY 252 天前 1 抛开安全性不谈,我就很讨厌 NAT ,20 年前很多软件对 NAT 的适配都不好,每次帮别人做 IT 维护烦得要死 后来学了 CCIE ,才知道 NAT 也分好多种,什么 SNAT,DNAT,PNAT.....感觉也就大陆由于 IPV4 缺乏(还要加上舆论管控)才把 NAT 当个宝 |
| 23 wheat0r 252 天前 1 @rebeccaMyKid #12 首先这里有一个历史遗留问题。早年间的路由器都是 MIPS 架构的,电路是针对路由协议设计的,NAT 性能远低于采用 x86 架构的防火墙。很久之前我实测过思科 2811 路由器从外往里访问服的 NAT 性能远低于同级别的 ASA 防火墙(当然防火墙贵非常多)。 但是现在这个时代,ARM 的算力太强,基本上 NAT 随便算,家用路由器对 NAT 的要求又不高,并不会感觉到什么减速。 |
 | 25 realpg PRO 你知道吗 “防火墙” 这个东西 最早指的就是 NAT 网关。。。 |
| 26 rebeccaMyKid 245 天前 @wheat0r #23 这我就真的不了解了。。反正我测了是没什么差别。我用的两个路由器我看了也都是 arm 的。因为前段时间看 v2 硬路由帖子的时候,还有人说 NAT 慢,我就觉得没这么夸张吧,然后自己配置完,就是直接插一个翻墙路由在主路由后面,根本没什么 performance degrade ,不管是网速还是延迟 |
Select Language