NAT 类型

Full Cone NAT

full-cone-nat

最宽松。只要出站建立了映射,任何人发到这个公网端口的包都会被转发进来。

内网 192.168.1.5:5000 → 公网 1.2.3.4:12345

任意IP:任意端口 → 1.2.3.4:12345  ✅ 放行

Restricted Cone NAT

restricted-cone-nat

限制来源 IP。只有内网机器主动访问过的 IP,才能发包进来。

内网访问过 8.8.8.8

8.8.8.8:任意端口 → 1.2.3.4:12345  ✅ 放行
9.9.9.9:任意端口 → 1.2.3.4:12345  ❌ 丢弃

Port-Restricted Cone NAT

port-restricted-cone-nat

限制来源 IP + 端口。只有内网机器主动访问过的 IP:Port 组合才能发包进来。

内网访问过 8.8.8.8:443

8.8.8.8:443  → 1.2.3.4:12345  ✅ 放行
8.8.8.8:80   → 1.2.3.4:12345  ❌ 丢弃

Symmetric NAT

symmetric-nat

最严格。每次访问不同目标,NAT 分配不同的公网端口,且只有对应目标才能回包。

内网访问 8.8.8.8:443  →  公网 1.2.3.4:12345
内网访问 9.9.9.9:443  →  公网 1.2.3.4:99999  ← 端口变了

STUN 探测到的是 12345,但打洞时用的目标不同,
NAT 实际分配了新端口,对方永远猜不到

打洞成功率对比

类型 打洞难度
Full Cone ✅ 最容易
Restricted Cone ✅ 容易
Port-Restricted Cone ✅ 可以(双方同时发即可)
Symmetric NAT ❌ 基本不可能

家用路由器大多是前三种,企业网关、运营商级 NAT(CGNAT)常见对称型。

posted @ 2026-04-14 21:40  Undefined443  阅读(3)  评论(0)    收藏  举报