NAT、代理服务、内网穿透

NAT

• 是什么： 一种在IP网络中广泛使用的技术，主要用于解决IPv4地址枯竭问题。它允许多个设备（在一个私有局域网内）共享一个或少量公网IP地址来访问互联网。
• 怎么做： NAT设备（通常是家庭或企业路由器）维护一张 NAT转换表。当内网设备发送数据包到公网时，NAT路由器会：
  • 将数据包的源IP地址替换成自己的WAN口IP。
  • 将数据包的源端口号替换成一个新的、由NAT路由器分配的唯一临时端口。为了建立唯一映射
  • 将这个 内网IP:内网端口 -> WAN口IP:NAT端口 的映射关系记录在NAT转换表中。
• 目的： 实现地址复用，隐藏内部网络结构（一定程度的安全），简化网络管理。

NAT IP转换过程

• 当我们从内网去访问公网时候，此时我们的源IP会被变为我们局域网路由器的WAN口IP，每到底一个路由器都会进行操作，一直到出入口路由器的WAN口IP，此时出入口路由器的WAN口IP是公网，就可以访问了。
• 问题：如果我们一个局域网内部多态主机访问目的IP一样的，如果只进行我们的源IP地址的替换，就会导致当从目的IP返回时无法确定哪一台机器。
  如下图：

因此我们就要加上端口号进行映射

NAPT

• NAPT是在NAT的基础上加上端口号进行映射

如何保证唯一映射？

1. 第一层：内网地址唯一性（基础保障）

• IP地址唯一性：
  • 局域网内每个设备有唯一IP（如 192.168.1.100 ≠ 192.168.1.101）
  • 路由器通过ARP表维护IP-MAC映射，确保无冲突
• 端口唯一性：
  • 单个主机上，操作系统保证源端口不重复
  • 不同主机可使用相同端口（如A和B都用5000端口）

2. 端口转换唯一性（核心机制）

• NAPT 通过双重替换+动态分配创建唯一公网标识：

3. 多态分配算法这里不细说了哈（ps:我也不会~）

NAT技术的缺陷

• 无法从NAT外部向内部服务器建立连接;
• 装换表的生成和销毁都需要额外开销;
• 通信过程中一旦NAT设备异常, 即使存在热备, 所有的TCP连接也都会断开;

代理服务

正向代理

概述

• 正向代理（Forward Proxy）是一种常见的网络代理方式，它位于客户端和目标服务器之间，代表客户端向目标服务器发送请求。正向代理服务器接收客户端的请求，然后将请求转发给目标服务
  器，最后将目标服务器的响应返回给客户端。通过这种方式，正向代理可以实现多种功能，如提高访问速度、隐藏客户端身份、实施访问控制等。
  正向代理代理的是客户端
  

工作原理

• 客户端将请求发送给正向代理服务器。
• 正向代理服务器接收请求，并根据配置进行处理，如缓存查找、内容过滤等。
• 正向代理服务器将处理后的请求转发给目标服务器。
• 目标服务器处理请求，并将响应返回给正向代理服务器。
• 正向代理服务器将响应返回给客户端。

功能特点

• 缓存功能：正向代理服务器可以缓存经常访问的资源，当客户端再次请求这些资源时，可以直接从缓存中获取，提高访问速度。
• 内容过滤：正向代理可以根据预设的规则对请求或响应进行过滤，如屏蔽广告、阻止恶意网站等。
• 访问控制：通过正向代理，可以实现对特定网站的访问控制，如限制员工在工作时间访问娱乐网站。
• 隐藏客户端身份：正向代理可以隐藏客户端的真实IP地址，保护客户端的隐私。
• 负载均衡：在多个目标服务器之间分配客户端请求，提高系统的可扩展性和可靠性。

应用场景

• 企业网络管理：企业可以通过正向代理实现对员工网络访问的管理和控制，确保员工在工作时间内专注于工作，避免访问不良网站或泄露公司机密。
• 公共网络环境：在公共场所如图书馆、学校等提供的网络环境中，通过正向代理可以实现对网络资源的合理分配和管理，确保网络使用的公平性和安全性。
• 内容过滤与保护：家长可以通过设置正向代理来过滤不良内容，保护孩子免受网络上的不良信息影响。
• 提高访问速度：对于经常访问的网站或资源，正向代理可以通过缓存机制提高访问速度，减少网络延迟。
• 跨境电商与海外访问：对于跨境电商或需要访问海外资源的企业和个人，正向代理可以帮助他们突破网络限制，顺畅地访问海外网站和资源。

反向代理

概述

反向代理服务器是一种网络架构模式，其作为Web服务器的前置服务器，接收来自客户端的请求，并将这些请求转发给后端服务器，然后将后端服务器的响应返回给客户端。这种架构模式可以提升网站性能、安全性和可维护性等反向代理代理的是服务器

基本原理

反向代理服务器位于客户端和Web服务器之间，当客户端发起请求时，它首先会到达反向代理服务器。反向代理服务器会根据配置的规则将请求转发给后端的Web服务器，并将Web服务器的响应返回给客户端。
在这个过程中，客户端并不知道实际与哪个Web服务器进行了交互，它只知道与反向代理服务器进行了通信。

应用场景

• 负载均衡：反向代理服务器可以根据配置的负载均衡策略，将客户端的请求分发到多个后端服务器上，以实现负载均衡。这有助于提升网站的整体性能和响应速度，特别是在高并发场景下。
• 安全保护：反向代理服务器可以隐藏后端Web服务器的真实IP地址，降低其被直接攻击的风险。同时，它还可以配置防火墙、访问控制列表（ACL）等安全策略，对客户端的请求进行过滤和限制，以保护后端服务器的安全。
• 缓存加速：反向代理服务器可以缓存后端Web服务器的响应内容，对于重复的请求，它可以直接从缓存中返回响应，而无需再次向后端服务器发起请求。这可以大 减少后端服务器的负载，提升网站的响应速度。
• 内容过滤和重写：反向代理服务器可以根据配置的规则对客户端的请求进行过滤和重写，例如添加或删除请求头、修改请求路径等。这有助于实现一些特定的业务需求，如URL重写、用户认证等。
• 动静分离：在大型网站中，通常需要将静态资源和动态资源分开处理。通过将静态资源部署在反向代理服务器上，可以直接从反向代理服务器返回静态资源的响应，而无需再次向后端服务器发起请求。这可以大 提升静态资源的访问速度。
• CDN（Content Delivery Network，内容分发网络）就是采用了反向代理的原理

我们在网络中发送的数据都是要经过yys的，当我们想访问w网的网址例如githup等等，yys检测出我们访问的目的IP是公网，就会拦截我们的请求，所以我们想要访问公网中的网址首先需要骗过yys。首先我们需要一台可以直接访问公网的服务器，并在上面部署一个代理软件server，我们也需要在自己的主机上安装上代理软件client，假设我们想访问githup的网站，首先在我们的主机上构建一个Http请求，并对这个请求进行加密，发送给我们的服务器，运营上看到这个数据报时，看到目的IP是一台合法的服务器，由于我们对数据进行了加密，运营商也只能将数据推送给我们的服务器，此时我们的服务器就可以对数据进行解密，然后访问我们请求的网站，并将请求的数据进行加密在发送给我们的主机，这样就实现了科学上网

NAT和代理服务器

路由器往往都具备NAT设备的功能, 通过NAT设备进行中转, 完成子网设备和其他子网设备的通信过程.代理服务器看起来和NAT设备有一点像。
客户端像代理服务器发送请求, 代理服务器将请求转发给真正要
请求的服务器; 服务器返回结果后, 代理服务器又把结果回传给客户端。

区别：

• 从应用上讲, NAT设备是网络基础设备之一, 解决的是IP不足的问题. 代理服务器则是更贴近具体应用, 比如通过代理服务器进行翻墙, 另外像迅游这样的加速器, 也是使用代理服务器.
• 从底层实现上讲, NAT是工作在网络层, 直接对IP地址进行替换. 代理服务器往往工作在应用层.
• 从使用范围上讲, NAT一般在局域网的出口部署, 代理服务器可以在局域网做, 也可以在广域网做,也可以跨网.
• 从部署位置上看, NAT一般集成在防火墙, 路由器等硬件设备上, 代理服务器则是一个软件程序, 需要部署在服务器上.

代理服务器是一种应用比较广的技术

• 翻墙: 广域网中的代理.
• 负载均衡: 局域网中的代理.

内网穿透

实现原理：

• 首先在代理服务器上部署安装配置"frps"（frp服务端），在主机部署安装配置"frpc"（frp客户端）。
• 让一台主机与代理服务器建立连接，生成NAT映射表。
• 通过"frpc"将本地某个端口映射到代理服务器"frps"的某端口。
• 这样我们在另一台主机通过访问服务器的特定端口，就可以直接访问到内网主机中的特定端口

内网打洞

实现原理

1. 客户端安装与连接服务端：

   • 客户端A在自己的主机上安装软件。

   • 客户端A主动连接公网上的服务端S。连接成功后，客户端A所在局域网的路由器/防火墙（NAT设备）会创建一个临时的映射表项（NAPT表项）。这个表项将：内部私有IP:Port (客户端A的局域网地址和端口)映射到
     外部公网IP:Port (NAT设备对外的公网地址和一个由NAT分配的唯一端口，通常称为NAT_A_Public:Port_A_Public)。
     （最后和服务端进行的绝对是公网IP和某个端口此时服务端会记录下来每个客户端的公网和端口）

2. 另一个客户端连接服务端：

   • 客户端B在自己的主机上（可能在另一个完全不同的局域网中）做同样的事情：安装软件，连接服务端S。

   • 连接成功后，客户端B所在局域网的路由器/防火墙（NAT设备）也会创建一个类似的临时映射表项：内部私有IP:Port (客户端B的局域网地址和端口)映射到外部公网IP:Port (NAT设备对外的公网地址和一个由NAT分配的唯一端口，通常称为NAT_B_Public:Port_B_Public)。

3. 服务端交换地址信息：

   • 服务端S记录下每个客户端连接它时使用的源地址。这个源地址不是客户端内部的私有地址，而是NAT设备转换后的、公网可见的地址 (NAT_A_Public:Port_A_Public 和 NAT_B_Public:Port_B_Public)。

   • 当两个客户端需要通信时（例如A想呼叫B），它们会告知服务端S。

   • 服务端S将客户端B的公网可见地址 (NAT_B_Public:Port_B_Public) 发送给客户端A。

   • 同时，服务端S将客户端A的公网可见地址 (NAT_A_Public:Port_A_Public) 发送给客户端B。

4. 客户端尝试直接连接（打洞）：

   • 关键步骤：

     • 客户端A 收到B的公网地址 (NAT_B_Public:Port_B_Public) 后，主动向这个地址发送一个UDP数据包（即使它可能还不知道B是否准备好了接收）。这个包会被客户端A的NAT设备放行（因为是从内部主动发起的），并到达客户端B的NAT设备的公网IP和端口。

     • 同时，客户端B 收到A的公网地址 (NAT_A_Public:Port_A_Public) 后，也主动向这个地址发送一个UDP数据包。同样，这个包会被客户端B的NAT设备放行，到达客户端A的NAT设备的公网IP和端口。

   • “打洞”的本质： 这一步非常重要！它利用了大多数NAT设备的一个特性：如果一个内部主机（A）向一个外部地址（B的公网地址）发送了数据包，那么NAT设备会临时允许从那个外部地址（B的公网地址）发回的、目标地址是A的内部主机映射的那个公网端口 (Port_A_Public) 的数据包进入。反之亦然（对于B的NAT设备）。（其实就是内部访问外部公网所有的NAT设备里面记录了NAPT表的映射了外部自然就可以找到内部这个设备了）

   • 当客户端B的NAT设备收到A发来的数据包（目标地址是 NAT_B_Public:Port_B_Public）时，如果此时B已经向A发送了数据包（在NAT设备上创建了“洞”），那么B的NAT设备就会将这个包转发给内网的客户端B。

   • 同理，A的NAT设备也会将B发来的包转发给内网的客户端A。

5. 建立P2P连接：

   • 一旦双方发出的数据包成功穿过对方的NAT到达对方的内部主机，一条直接的双向UDP通信通道就在客户端A和客户端B之间建立起来了。

   • 后续的通信数据就可以直接在这条通道上传输，不再需要经过服务端S转发。服务端S的角色主要是初始的协调和地址交换。

网络大总结

数据链路层

• 数据链路层的作用: 两个设备(同一种数据链路节点)之间进行传递数据
• 以太网是一种技术标准; 既包含了数据链路层的内容, 也包含了一些物理层的内容. 例如: 规定了网络拓扑结构, 访问控制方式, 传输速率等;
• 以太网帧格式
• 理解mac地址
• 理解arp协议
• 理解MTU

网络层

• 网络层的作用: 在复杂的网络环境中确定一个合适的路径.
• 理解IP地址, 理解IP地址和MAC地址的区别.
• 理解IP协议格式.
• 了解网段划分方法
• 理解如何解决IP数目不足的问题, 掌握网段划分的两种方案. 理解私有IP和公网IP
• 理解网络层的IP地址路由过程. 理解一个数据包如何跨越网段到达最终目的地.
• 理解IP数据包分包的原因.
• 了解ICMP协议.
• 了解NAT设备的工作原理.

传输层

• 传输层的作用: 负责数据能够从发送端传输接收端.
• 理解端口号的概念.
• 认识UDP协议, 了解UDP协议的特点.
• 认识TCP协议, 理解TCP协议的可靠性. 理解TCP协议的状态转化.
• 掌握TCP的连接管理, 确认应答, 超时重传, 滑动窗口, 流量控制, 拥塞控制, 延迟应答, 捎带应答特性.
• 理解TCP面向字节流, 理解粘包问题和解决方案.
• 能够基于UDP实现可靠传输.
• 理解MTU对UDP/TCP的影响.

应用层

• 应用层的作用: 满足我们日常需求的网络程序, 都是在应用层
• 能够根据自己的需求, 设计应用层协议.
• 了解HTTP协议.
• 理解DNS的原理和工作流程.