主页 / computer / 问题

问题[nat](computer)

Martin Hope
user6072865
Asked: 2023-06-03 23:59:53 +0800 CST
  • 5

我有一个 EC2 实例和一个需要从实例内部发送到 EIP 的应用程序。

我正在尝试在输出链上配置一个 dnat,这样数据包就不会传到互联网并返回。

我尝试过以下内容:

nft add table ip table
nft add chain table output '{ type filter hook output priority raw; policy accept; }'
nft add rule tgw-routing output oif "ens7" ip daddr "A.A.A.A" ip daddr set "B.B.B.B" accept

其中 AAAA 是 EIP 地址,BBBB 是 EC2 实例上的私有地址。

如果我执行数据包跟踪,我可以看到转换已经发生,但它被发送到默认网关的 MAC,就好像转换是在其路由决策之后发生的一样。

有关更多上下文,我正在尝试复制此 iptables 规则:

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DNAT       all  --  anywhere             A.A.A.A  to:B.B.B.B

哪个按我想要的方式工作,但有人告诉我我不能使用 iptables,所以需要一个 nftables 解决方案。

nat
Martin Hope
Molten Ice
Asked: 2022-12-16 14:04:44 +0800 CST
  • 6

对于华硕 DSL 调制解调器路由器(例如 DSL-N16),如何打开桥接模式以便单独的路由器处理所有路由等,而 DSL-N16 就像处于仅调制解调器模式一样?

我想避免双重 NAT,只是将其设置为桥接模式或类似模式。

DSL-N16 仅充当调制解调器,通过以太网将所有流量传递到与其连接的路由器。路由器实际上拥有来自 ISP 的面向公众的 IP,并为连接到它的所有客户端处理 NAT 和路由。

nat
Martin Hope
Joao de Oliveira
Asked: 2022-03-25 10:11:14 +0800 CST
  • 5

我有一个带有旧 Cisco 路由器(Cisco 2851(修订版 53.51))的客户端,使用Cisco IOS 软件,2800 软件(C2800NM-IPBASE-M),版本 12.4(3i)

我需要为子网中的计算机打开一个新的路由端口。看了之后,我设法成功地做到了:

conf term
ip nat inside source static udp  <internalIP4> 1234 <externalip> 1234
end

路由一切正常,我设法访问计算机并查看结果:show ip nat translations. 问题在今天开始出现电力短缺,路由器似乎已经从配置中“删除”了这条线路

查看启动脚本(带有show startup),我设法在路由会话中看到如下内容:

!         
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool intLan <externalIP> <externalIP> netmask 255.255.255.0
ip nat inside source list 1 pool intLan overload
ip nat inside source static tcp <internalIP1> 41 <externalIP> 41 extendable
ip nat inside source static tcp <internalIP2> 14 <externalIP> 14 extendable
ip nat inside source static udp <internalIP2> 14 <externalIP> 14 extendable
ip nat inside source static tcp <internalIP2> 114 <externalIP> 114 extendable
ip nat inside source static udp <internalIP2> 114 <externalIP> 114 extendable
ip nat inside source static tcp <internalIP3> 345 <externalIP> 345 extendable
ip nat inside source static udp <internalIP3> 345 <externalIP> 345 extendable
!

这么旧的路线,但是我的新路线没有显示。

你能帮我解决这个问题吗?谢谢!

networking nat
Martin Hope
toto'
Asked: 2022-02-11 11:22:37 +0800 CST
  • 5

我知道路由器(如家庭路由器)确实是源端口 NAT(因为 LAN 的公共 IP 通常是一个)。如果我在 LAN 中的计算机上运行 VPN 客户端(如 Open VPN),并且 VPN 数据包全部加密(外部 IP 标头除外),路由器如何:

  1. 将 TCP 段添加到数据包以注入端口 NAT?
  2. 访问原始 TCP 端口以了解目标端口?
vpn nat
Martin Hope
OnY
Asked: 2022-02-10 01:37:59 +0800 CST
  • 5

目标:允许一个人远程连接到我的(Django)网络服务器,该服务器在我的 Windows 10 机器上本地运行一周左右。

我尝试了什么:禁用防火墙(Windows),我的路由器上似乎没有防火墙。我用 ext 在我的路由器上设置了端口转发。IP 设置为 0.0.0.0,本地 IP 设置为我的静态 PC IP。它不起作用,我猜ISP有一个额外的盒子。

问题:是否有任何不涉及我的 ISP 的解决方法?

  1. 我想我的机器上应该有可以访问的开放端口,因为我确实使用 Zoom 和其他软件,对吧?我可以以某种方式使用其中之一吗?
  2. 是否可以在两台计算机之间创建某种 VPN 或“隧道”,以便其他人可以连接到我的 PC?

感谢您的帮助和想法。

解决方案
多亏了下面的答案,Ngrok 的免费版本似乎起到了作用。

port-forwarding nat
Martin Hope
Nik Rubblers
Asked: 2022-02-03 07:14:40 +0800 CST
  • 5

也许这是一个愚蠢的问题,答案很简单。

我将路由器 DMZ(zyxel 路由器)设置为我的开发服务器(动态更新的 Dns),并且在我的网络外部一切正常。

相反,从我的 LAN 内部,选择的域名解析为我的路由器的 ip,而不是我的公共动态 ip,因此如果我将浏览器指向我的域,我会收到来自路由器的 Web 服务器的响应(说实话,谈论端口 80 ..因为如果我指向在端口 3306 上服务的 mysql,无论我是“进还是出”,它都能正常工作)。

我希望在https://my.domain.net/上访问我的服务器,在http://192.168.XX上访问我的路由器。

我的服务器只是我的局域网的主机(没有单独的 vlan 左右)。

我错过了什么?我该如何解决这个麻烦?

谢谢大家

nat dmz
Martin Hope
Slartibartfast
Asked: 2021-11-23 08:43:12 +0800 CST
  • 5

这个问题是一个较早的问题的后续问题:为什么 google 向我显示与路由器不同的外部 IP 地址

所以确定我是 CGNAT 的幕后黑手。我的 ISP 不太可能允许我访问 CGNAT 交换机或打开其上的端口。这是因为当我与他们的代表交谈时。他说我们不能为单个客户破例。我希望我理解正确,需要在我们公寓楼地下室的 CGNAT 设备中打开端口。

我想知道如果我的 ISP 不允许端口转发,我还有什么选择?对于 ftp、vpn 服务器等服务?

port-forwarding nat
Martin Hope
Fabaki
Asked: 2021-03-09 03:54:41 +0800 CST
  • 6

假设我和另一台相同的计算机在一个本地网络中(例如,我是 192.168.1.5 或 A,他是 192.168.1.6 或 B)在 NAT 后面(假设我们的公共 IP 是 5.5.5.5),我们有一个洪流客户端正在运行。我们都有一个文件,我们称之为“file.txt”。一台外部计算机(我们称他为 C)想要获取文件的一部分。所以他试图与 5.5.5.5 建立连接(或者更确切地说是请求文件或其他东西,我不太确定协议是如何工作的)对吗?

现在 NAT 如何知道数据包应该发送给我们中的哪一个(A 或 B)?我必须强调(如果还不够清楚的话)外部数据包(来自 C)是来自该地址的第一个数据包,这意味着我和 B 都不知道 C 的存在。

networking nat
Martin Hope
Tony
Asked: 2021-03-05 19:45:05 +0800 CST
  • 6

我有一个 DrayTek 130 VDSL2 调制解调器,它使用 PPPoA 进行连接。我的 ISP 需要 CHAP 进行身份验证,但我在外部路由器上使用了替代操作系统,其 PPP 插件无法按预期工作,因此无法在我的 ISP 网络上建立 PPP 链接。

在我解释我的问题之前,我想澄清一下我想要达到的目标:

  1. 通过在调制解调器上保存登录详细信息,无需在外部路由器上进行 PPP 身份验证。
  2. 禁用 LAN 并将公共 IP 委派给外部路由器。

至于第一个目标,我在控制台找到了相应的选项,可以让我保存登录详细信息,但不幸的是它把设备变成了路由器,我无法使用外部路由器上的公共 IP 进行 NAT。

至于第二个目标,我打开了带桥接 LLC 的 MPoA,允许我将公共 IP 委托给外部路由器,但在这种情况下,我必须在外部路由器上使用 PPP 和 CHAP 进行身份验证。

不幸的是,我无法同时做到这两点。

首先,是否有可能在没有两个公共 IP 地址的情况下将公共 IP 委托给外部路由器?

该调制解调器提供三种 MPoA 桥接协议:LLC、VC-MUX、I​​PoE。我的问题是哪一个可以解决我的两个问题?

nat
Martin Hope
thomascp
Asked: 2020-11-27 06:56:00 +0800 CST
  • 7

我有一台配置为路由器的 Ubuntu 笔记本电脑。拓扑如下所示:

internet <---> laptop router <---> raspberry pi 3

笔记本电脑中启用了 NAT 以将数据包从树莓派 3 转发到互联网,也从互联网转发回树莓派 3。除 TFTP 外,一切正常。

每次我想从 TFTP 服务器获取文件时,都会因超时而失败。并且在笔记本电脑上抓包后,就找到了根本原因。

NAT 使用 dest IP 和 dest 端口作为标志,在回复返回时将帧转发回 pi 3。但是在 TFTP 的情况下,TFTP 请求使用 IP 和 dest 端口 69 发送,但 TFTP 服务器以相同的 IP 但不同的随机端口回复请求。所以这让 NAT 感到困惑,不知道该把回复消息转发到哪里。最后,它以错误目的地无法到达的方式回复 TFTP 服务器。

虽然我知道原因,但不知道如何解决这个问题。谁能帮我?谢谢!

linux nat