发现 NAT 这东西挺好用啊,做一层 nat ,不做端口映射,后面的服务器基本不用担心来自公网的爆破了。
第 1 条附言 · 6 天前
感谢各位的分享和指点. 这里虽然只提了NAT, 但是也使用了其他技术, 诸如通过 IPsec(IKEv2) 连接内网组网等等.
至于GRE over IPsec, 构建DMVPN运行动态路由协议OSPF/EIGRP 这种倒是没有做, 主要原因还是身后的站点没有那么庞大, 暂时使用静态路由解决了.
第 2 条附言 · 6 天前
再次感谢分享和建议.
发现个别朋友的讨论有点跑偏了, NAT 和 反向代理 的区别还是很大的.
这里使用 NAT(Symmetric NAT) 的主要目的不是为了向外(互联网)提供服务, 相反是为了阻隔来自互联网的恶意攻击, 同时给予内部服务器一定的公网访问能力.
防火墙 + IPsec + NAT 这一系列操作都是为了保障安全性. “抛开安全性不谈” 就有点不合适了, 毕竟此帖是发布在“信息安全”主题下.
如 @wheat0r 所说, 即便是 IPv6 这种不缺地址的情况, 其公司都会做 NAT66.
这种情形下, 首要的目的是保障安全性, 其次是连通性/可达性/便捷性等等.
发现个别朋友的讨论有点跑偏了, NAT 和 反向代理 的区别还是很大的.
这里使用 NAT(Symmetric NAT) 的主要目的不是为了向外(互联网)提供服务, 相反是为了阻隔来自互联网的恶意攻击, 同时给予内部服务器一定的公网访问能力.
防火墙 + IPsec + NAT 这一系列操作都是为了保障安全性. “抛开安全性不谈” 就有点不合适了, 毕竟此帖是发布在“信息安全”主题下.
如 @wheat0r 所说, 即便是 IPv6 这种不缺地址的情况, 其公司都会做 NAT66.
这种情形下, 首要的目的是保障安全性, 其次是连通性/可达性/便捷性等等.
 |
1
pathletboy 6 天前 via Android
nat 减速,不如开个防火墙更灵活。
|
 |
2
wheat0r 6 天前  1
本来就好用啊,结合防火墙策略使用有很好的隔离效果。
我们公司即便 IPv6 也是做要 NAT66 的。 但是单独使用 NAT 是没有你以为的安全性的。 |
 |
3
oneisall8955 6 天前
web 服务可以用反向代理,没必要 nat ,特殊的开防火墙
|
 |
4
BeautifulSoap 6 天前 via Android
其实,本质上来说,NAT 就是防火墙的一种形式。。。。。。
|
 |
5
flyqie 6 天前 via Android
坏消息是对 p2p 也会有一定影响,不同 nat 锥形对 p2p 打洞的影响是不一样的。
|
 |
6
churchmice 6 天前 via Android
那你穿 10 层 nat,岂不是天下无敌
|
 |
7
coolcoffee 6 天前
op 没说到点子上,企业级路由器一条规则就可以丢弃来自外部的请求流量。
NAT 是需要映射表来做流量转发,这个在连接量大的时候就会成为瓶颈。早期的光猫拨号性能不足就是这种情况,所以大家基本上做的第一件事情就是改成桥接。 |
 |
9
Yuanlaoer 6 天前
@churchmice 哈哈哈哈笑死了
|
 |
10
hefish 6 天前
将来您还会发现更多好用的,比如 GRE ,OSPF ,IP 。。。
|
 |
12
rebeccaMyKid 6 天前
@pathletboy 你确定吗?我上个月刚做了简单的测试,家里路由器加一层 NAT ,延迟差别根本无感,网速也没问题。所以减速在哪?
|
 |
13
nomagick 6 天前
?
和 NAT 没关系,是存储转发的基本通信方式, 你的包从我手上过,我把它递给下一条还是随手扔了,那还不是我说了算吗, |
 |
14
est 6 天前
不穿衣服住山洞里的确挺舒服的。前提只要你一辈子不用出去。
|
 |
15
Donaldo 6 天前
@rebeccaMyKid #12 包多了转发的时候比较考验设备,当然家庭没所谓了。不过防火墙也一样有这个问题。。。
|
|
16
Donaldo 6 天前
@rebeccaMyKid #12 一个是包多,另一个是网络带机量大,NAT 表复杂
|
|
18
wheat0r 6 天前 3
@kaedeair #17 一些场景下,组织的出口是动态 IPv6 前缀,而内部有多个子网,想把动态的地址通过 DHCPv6 正常分配到不同子网里,配置会比较麻烦,而且三层交换机上的接口地址前缀可能会不可控。总的来说,越复杂的内部网络越可能要用 ULA ,那么出口就要做 NAT66 。
|
 |
19
lslqtz 6 天前 1
@flyqie 即使是 Full cone NAT 也能防止公网的爆破, 因为往往要求内网设备主动打洞. 而且企业网络通常不要求可能不允许员工进行 P2P, 如果是特殊需求那么肯定是能配置网关的.
|
 |
20
bclerdx 6 天前
@coolcoffee 请问什么是桥接呢?
|
 |
21
cpstar 6 天前
那你需要的不是 NAT ,而是反代。。。。
|
 |
22
TellMeWHY 6 天前 1
抛开安全性不谈,我就很讨厌 NAT ,20 年前很多软件对 NAT 的适配都不好,每次帮别人做 IT 维护烦得要死
后来学了 CCIE ,才知道 NAT 也分好多种,什么 SNAT,DNAT,PNAT.....感觉也就大陆由于 IPV4 缺乏(还要加上舆论管控)才把 NAT 当个宝 |
|
23
wheat0r 6 天前 1
@rebeccaMyKid #12 首先这里有一个历史遗留问题。早年间的路由器都是 MIPS 架构的,电路是针对路由协议设计的,NAT 性能远低于采用 x86 架构的防火墙。很久之前我实测过思科 2811 路由器从外往里访问服的 NAT 性能远低于同级别的 ASA 防火墙(当然防火墙贵非常多)。
但是现在这个时代,ARM 的算力太强,基本上 NAT 随便算,家用路由器对 NAT 的要求又不高,并不会感觉到什么减速。 |
 |
25
realpg 3 天前
你知道吗 “防火墙” 这个东西 最早指的就是 NAT 网关。。。
|
Select Language