发新话题
打印

NAT端口转移让您的业务四通八达无所不在

NAT端口转移让您的业务四通八达无所不在

        NAT端口转移即DNAT+SNAT的功能组合,适用于是将连接本机端口的流量转发到第三方服务器,即通用TCP、UDP代理/中继/中转/接力/跳板/堡垒机/故障转移/网络加速/隐藏来源/四层转发/四层服务器负载均衡/Multi-hop L4 Proxy/虚拟服务(蜜罐Honeypot)。例如,如果客户端无法直接连接B服务器——IP上了黑名单或备案主机、NAT主机使用非标准端口又要配套Cloudflare CDN要求的80、443端口,但可以直接连接A服务器,那么可以在A服务器处做端口转移,当客户端连接A服务器时,自动转移连接到B服务器的服务,如下图所示。

    
        这期间:
  • 客户端无感,不知道第三方B服务器的存在,对于B服务器来说,来源IP改成了A服务器的IP;如果连接的是B服务器的代理、VPN服务器,则最终来源IP是B服务器(落地机)的IP
  • 第三方B服务器需要设置与客户端(与原A服务器)配置文件相同、相对应的服务器参数及用户认证数据。缺点:虚拟主机因为主机名的问题、HTTPS代理因为SSL证书的问题不好做端口转移
  • A服务器不必启用相关服务器,不需要Cloudflare、域名、隧道、代理等其它服务,只需要做NAT端口转移,即使启用了相同端口的服务也会被屏蔽,因为系统优先进行NAT端口转移
      
        需要添加两条NAT策略(正式版功能):
      1) DNAT用于客户端访问本机(网卡)IP地址时,将客户端目的IP地址(本机网卡IP)转换为第三方服务器(和客户端处于本机连接网卡的同侧,所以还需要SNAT)的IP地址,可以是TCP、UDP协议
      2) SNAT用于在连接网卡处将客户端来源IP地址转换为本机网卡IP地址,可以是TCP、UDP或IP协议,用于访问第三方服务器

      如下图所示,对88端口(Socks服务器)、8086端口(HTTP代理)做外部端口转移。


      以下阐述各种IP及端口转发技术:
1、使用shell的代理服务器环境变量设置(http_proxy=socks5:// 等)或tsocks命令,只适用于本机shell网络命令,无法为代理服务器、VPN服务器进行全局透明代理
2、 ss服务器有ss-redir全局透明代理端口,通过NAT规则,将流量REDIRECT到这个端口,就可以实现全局透明代理
3、内核态NAT端口转移,用于挽救被Q机,或更换客户端来源IP地址、服务器目的端口
4、同机VPN客户端+VPN服务器或同机异构VPN服务器或IPv4、v6双栈服务器(IPv4通过IPv6网络间接互联),实现VPN/ip-tunnel/代理接力,同样可以达到挽救被Q机,或更换来源IP地址的目的
5、socat、haproxy、realm、brook、gost、rinted 、nginx、squid、ssh、sniproxy、clash等四层用户态代理转发工具
6、DNS64、NAT64用于IPv6网络访问IPv4网络以及IPv4网络访问IPv6主机

更多介绍:http://www.trustcomputing.com.cn/cn/index.php/product/dns-url
下载地址:http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=1174
[ 本帖最后由 linda 于 2022-11-23 17:45 编辑 ]

TOP

发新话题