网络穿透 与 NAT类型 及 STUN TURN 协议

 

 

网络穿透 与 NAT类型 及 STUN TURN 协议

 

网络上已经有很多很多关于NAT类型与穿透的文章了，所以就不重复写了，稍作整理然后加一些自己的评注与总结。

 

同时笔者也提供了一个小工具用于检测你所在网络的NAT类型，源文件是有c程序版本和python脚本两种，可以从  https://github.com/node/turn-client 获取，如果你是windows，那么还可以本文末尾的附件下载预编译打包好的.exe文件。  

 

 

NAT话题，主要涉及：

- NAT 与 防火墙

- NAT 基本类型 与 原理

- NAT 穿透方式及原理

- 基于NAT穿透的网络应用

- NAT穿透相关的工具和开源项目

 

焦点集中在NAT类型以及对应的穿透方式，下面分别收录几篇文章做进一步了解。

 

 

1 网络 与 NAT 和 防火墙 

 

 

公网/内网IP分配及NAT地址转换协议  

2007-12-04 20:32:48

http://yanshiwen2007.blog.163.com/blog/static/38688705200711483248456/ 

 

 

防火墙和NAT

From: 百度文库

http://wenku.baidu.com/view/1c5ccba10029bd64783e2c94.html

 

 

NAT的四种类型及类型检测   

Posted on 2010-12-16 19:30 bw_0927 

http://www.cnblogs.com/my_life/articles/1908552.html

 

 

多媒体通讯中防火墙和NAT问题的解决

2002-12-26 9:57:00  信息源:赛迪网 作者:袁帅

http://it.rising.com.cn/newSite/Channels/Safety/SafeDefend/Defender/200212/26-095709141.htm

 

Linux下的NAT及防火墙的混合应用

时间:2003-12-29 08:00 来源:BitsCN.com 

http://www.bitscn.com/os/linux/200604/7934.html

 

 

2 NAT 穿透

 

NAT穿透

From: wikipedia 维基百科

http://zh.wikipedia.org/wiki/NAT%E7%A9%BF%E8%B6%8A

 

 

NAT的完全分析及其UDP穿透的完全解决方案

2006-07-18

http://zongtongyi.blogbus.com/logs/2857757.html

 

相关的其他文章：http://zongtongyi.blogbus.com/tag/%E7%A9%BF%E9%80%8FNAT/

 

 

 

NAT穿透

2010-05-09 12:15 

http://blog.csdn.net/feiren127/article/details/5571636

 

 

 

NAT穿透之NAT类型检测

发布时间:2011-01-01 12:07文章来源:黑客防线文章作者:张东辉 

http://www.yunsec.net/a/special/wlgf/wlrq/2011/0101/7820.html

 

 

P2P网络“自由”穿越NAT的“秘密”

Posted on 2008-10-12 14:05 chen eric 

http://www.cnblogs.com/lovko/archive/2008/10/12/1309094.html

 

 

 

Symmetric NAT Traversal

http://www.dialogic.com/webhelp/bordernet2020/1.0.0/webhelp/nat_traversal.htm

 

 

3 STUN 和 TURN 协议 

 

旧版本STUN http://www.ietf.org/rfc/rfc3489.txt

 

新版本STUN http://www.ietf.org/rfc/rfc5389.txt

TURN       http://www.ietf.org/rfc/rfc5766.txt

 

 

Symmetric NAT Traversal using STUN

http://tools.ietf.org/id/draft-takeda-symmetric-nat-traversal-00.txt

 

PS: 此协议是草稿，主要是关于基于 STUN 来做 Symmetric 类型的NAT穿透；但这不是100%可以成功的，有一定的概率。

 

PS: 新旧STUN协议及TURN协议在实现和使用上的差异？

    久版的STUN主要是基于判断NAT类型的，而新版本的STUN以及其扩展的TURN协议，摒弃了原来的思路，以获得一个可靠可用的通信地址和端口为目标；

    新版的STUN重在获得改地址，而TURN则提供了基于已知地址的数据传递协议规范。所以实践中，如果STUN告诉我们地址后，可以P2P，则优先P2P，否则TURN中转。

    新旧版本的STUN协议完全不同，协议设计也不同，无法兼容；新版的STUN则和TURN关系密切，后者是基于前者扩展设计的，大多数服务端也兼容二者。

 

    

4 工具与开源项目

 

NAT 类型检测

 

NAT Check：Check Your Network Address Translator for Compatibility with Peer-to-Peer Protocols

http://midcom-p2p.sourceforge.net/

 

 

 

VC++实现NAT穿透之NAT类型检测

http://blog.csdn.net/yincheng01/article/details/4486359

 

 

 

- STUN 

 

stund 

http://sourceforge.net/projects/stun 

 

 

pystun

http://code.google.com/p/pystun/

 

stunclient

http://code.google.com/p/stunclient/source/browse/#svn%2Ftrunk%2Fstun

 

 

- STUN & TURN

 

turnserver

http://turnserver.sourceforge.net/  (http://www.turnserver.org/)

 

 

turn-client

https://github.com/node/turn-client

 

 

PS: 下载按时时请注意,以上工具和项目中大多使用标准C和python(cpython) .

 

 

 

STUNMAN 

http://www.stunprotocol.org/   ,  https://github.com/jselbie/stunserver 

 

Features:

  Compliant with the latest RFCs including 5389, 5769, and 5780. Also includes backwards compatibility for RFC 3489.

 

  Supports both UDP and TCP on both IPv4 and IPv6.

 

  Client test app provided.

 

STUNMAN 使用C++开发，实现了新版的STUN和TURN协议，同时兼容处理旧版的STUN协议请求。

 

 

 

Java STUN/TURN 相关：

 

jstun 

http://jstun.javawi.de/

 

stung4j

https://stun4j.dev.java.net/

 

 

5 总结 

 

- Q: 是否所有NAT都可以穿透？ 

  A: 不是！简单说， 只要是cone类型的NAT，则可以穿透，100%地穿透，

     即 full cone NAT, address restricted cone NAT 和 port restricted cone NAT 都可以穿透；

     而 symmetric NAT则不能保证100%穿透，也就是说不可靠无法依赖穿透symmetric NAT来通信，必须提供备选方式如代理中转等。

 

- Q: 对于无法穿透的NAT该怎么办？ 

  A: 既然有STUN和TURN甚至SOCK5等协议，那么在确定无法穿透或者不能确定穿透时，选择服务器中转是上策。

 

- Q: 实践中哪种类型的NAT更多一些？

  A: 有时候应用只需要面对大多数用户即可，无需严格考虑所有情况，则需要参考实践中的NAT类型比例；

     这个数据我没有实际调查过，但结合网络上提供的资料，目前大多数NAT都属于cone的，不是symmetric的；但典型的sysmmetric仍然存在，比如可能有：

     - 安全要求较高的内部专属网/局域网

     - 互联网与EGDE网络之间，互联网与3G网之间

 

 

 

- Q: Symmetric NAT 的穿透状况到底如何？

  A: 可以穿透，但不是100%成功；那么如何提高成功率呢？ http://www.goto.info.waseda.ac.jp/~wei/file/wei-apan-v10.pdf 

     这篇很早的文章显示他们的办法可以达到99%的NAT穿透率，高于当时SKYPE的46% 。其中的难点，主要在于不断变化的端口映射，导致mapping address无法稳定下来用于两个peer的通信。

 

 

6 辅助工具

 

在线NAT类型检测

nattest.net.in.tum.de

 

 

从外部测试本地端口是否可访问

http://canyouseeme.org/ 

 

 

 

注： 附件里上传了pystun的脚本文件。

评论

3 楼 bluky999 2013-05-08  

bluky999 写道

文章：  STUN和TURN技术浅析

http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Five/Home/Catalog/201206/747038_97665_0.htm 

NAT专题
http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Five/

2 楼 bluky999 2013-05-08  

文章：  STUN和TURN技术浅析

http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Five/Home/Catalog/201206/747038_97665_0.htm 

1 楼 bluky999 2013-05-08  

另一个 TURNSERVER 的开源项目

https://code.google.com/p/rfc5766-turn-server/ 


The TURN Server is a VoIP media traffic NAT traversal server and gateway. It can be used as a general-purpose network traffic TURN server/gateway, too.

This implementation also includes some extra features. Supported RFCs:

TURN specs:

RFC 5766 - base TURN specs
RFC 6062 - TCP relaying TURN extension
RFC 6156 - IPv6 extension for TURN
Experimental DTLS support as client protocol.
STUN specs:

RFC 5389 - base "new" STUN specs
RFC 5769 - test vectors for STUN protocol testing
RFC 5780 - NAT behavior discovery support