NAT 如何处理返回流量 [关闭]答案

【问题标题】：How NAT handles return traffic [closed]NAT 如何处理返回流量 [关闭]
【发布时间】：2016-01-10 23:18:04
【问题描述】：

有一个静态 NAT 规则可以实现以下目标。

（对于这个问题，我们假设WAN subnet 的子网为1.1.1.1/24）

通过port X 到1.1.1.6 的WAN interface 的入站流量经过NAT 转换为LAN IP 192.168.0.1。

现在这不是 1-1 NAT 规则，而是入站流量的静态 NAT。当返回流量被发送回客户端时，防火墙是否知道将 NAT 流量返回给源 IP 为 1.1.1.6 的客户端？

我假设它必须这样做？由于 TCP 是双向协议，如果客户端在不同的 IP 上接收到与其发送流量到的 IP 不同的流量，它会丢弃它吗？

【问题讨论】：

【解决方案1】：

静态 1:1 NAT 定义了哪个内部地址转换为哪个外部地址，因此 NAT 路由器无需弄清楚；它已经在配置中提供给路由器。它只需要翻译外部数据包的目标地址和内部数据包的源地址；一个简单的静态表格查找。

当 NAT 不是静态的或 1:1 时，它会变得更加复杂。然后 NAT 路由器需要动态构建表，并为表条目创建超时。

【讨论】：

重点是——这不是 1-1 NAT，而是静态 NAT，所以基于入站 NAT，返回的数据包源 IP 是否会被 nat 到 1.1.1.6？
正如我所写，NAT 路由器将需要动态创建表，并且您将配置超时，或者路由器在清除表条目时使用其默认超时。有些人还会监视 TCP 会话何时正确终止，但当一侧或另一侧在没有通知的情况下消失时仍需要超时。该表的查找方式与 1:1 NAT 相同，但它没有预先配置，并且条目将在某个时候被清除。
很抱歉，我的评论是“是”还是“不是”？
是的，因为内部主机发起了会话，所以 NAT 路由器将创建 NAT 表条目。当外部流量进入路由器时，表条目会告诉路由器是哪个内部主机发起了会话，并重置超时计数器，内部主机回复不会创建新的表条目，而是使用之前的表首次联系外部主机时创建的条目，在此过程中重置超时计数器。
来自外部的流量已到达 1.1.1.6 上的 WAN 接口并被 NAT 到 192.168.0.1。然后，此 LAN 设备发送返回数据包，但对于从 192.168.0.1 到 1.1.1.6 的流量没有静态 NAT 规则。但是防火墙是否知道根据原始流量将流量源 NAT 到 1.1.1.6。

【解决方案2】：

这取决于 NAT 的类型。

如果是多对一 NAT，那就对了。出站数据包建立一个记录，用于了解如何处理入站数据包。这是最常见的 NAT 类型，也是典型家庭网络中使用的类型。

这是一对一的 NAT，然后接收到的任何发往 1.1.1.6（在您的示例中）的入站数据包都将被 NAT 到 192.168.0.1。

【讨论】：

所以即使没有明确的出站 NAT 规则，基于入站 NAT，返回的数据包也会将源 IP NAT 转换为 1.1.1.6？
在一对一 NAT 的情况下，是的。如果您有少量公共 IP 地址，您可能会在所有普通机器上使用多对一地址，但在执行服务器功能的机器上使用一对一地址。对于具有一对一 NAT 和专用公共 IP 地址的用户，客户端可以启动入站连接，就像使用端口转发时一样——本质上就像所有端口都被转发。
还有允许的多对一 NAT，您可能不希望转发的数据包无论如何都会被转发。例如，如果只有一个内部客户端正在使用特定端口，它可能会将发往该端口的每个数据包（无论源 IP 地址如何）NAT 到该客户端。（有关更多信息，请参阅this answer。）
好的 - 但在我最初的问题中，它不是 1-1 NAT，只是静态入站 NAT。所以在这种情况下，返回数据包的源 IP 不会被 nat 到 1.1.1.6，而是任何存在的出站 NAT 规则（可能是所有客户端的默认值）
返回数据包的源 IP 将被 NAT 到出站数据包创建的自反规则所说的任何内容。使用多对一 NAT，出站数据包创建/刷新临时反身规则，以允许将回复 NAT 到正确的目的地。