路由器安全技术和NAT地址反转技术

1:访问控制列表
在路由端设置策略，可以使得客户端发送的请求进行过滤，
从而达到限制用户上网的目的，当我们拿到一个设备的控制
权，我们可以通过命令来屏蔽用户发送的请求（甚至限制用户上网）

  比如：当我们拿到路由器的控制权的时候，我们可以甚至可以定向的
  屏蔽www.baidu.com      www.facebook.com。
  当我们使用这个技术后受害者就不能发送请求到指定网址了。这种方式
  类似于长城防火墙。。

2：时间acl和自反ACL
时间acl：在设置访问列表控制的时候，我们可以定时的设置acl，从而
达到精准控制的效果

  自反acl：保护策略，只允许用户发送数据到internet，而不接受从互联网
  发送的消息

小思路：当我们通过中间人攻击技术劫持了受害者，那此时我们充当的就是路由器的角色
（我们知道我们的笔记本是最高层的设备），所以此时我们就可以通过各种命令
做acl技术的策略。

   我们所知道的p2p终结者软件，在做策略的时候可能就采用了这种协议。

NAT技术：

动态NAT技术：

1：当路由器接收到数据包信息时，会自动把ip改成其对应的公网ip12.2.2.1,然后发送给服务器
2：公网服务器接收到数据后，会返回数据包，此时的数据包的目的ip地址会是对应的公网ip地址12.2.2.1，这时候就能找到这个指定的路由设备
3：当路由器拿到这个数据包会根据nat表发送给指定的客户机，这样就使用nat技术完成了通信

端口NAT技术：
动态NAT技术我们需要建立一个非常大的公网地址池，这就意味着我们要购买大量的公网ip，造成大量的经济负担，毕竟私有公司而言，省钱是很重要的
对于政府机关，想办法吧省下的钱变成自己的才是最主要的，所以就有了端口NAT技术

实现的主要思路如下图

我们的地址池中只有一个公网ip:123.12.3.1,要实现地址翻转
1：当路由器使用端口NAT技术后，客户机发送数据包的时候，除了ip和数据，还会携带一个随机端口号，作为一个标签来确定不同的私有地址客户机
2：路由器接收到客户端发送的数据包，会把ip地址修改为公网地址，其他不变发送到指定的机器上
3：服务器收到请求后，会回复一个数据包，目标地址是我们的公网地址，以及相应的端口，发送回我们的NAT路由器
我们的服务器根据提供的端口号来发送到指定的机器上

实现如下图

对于我们家庭常用的电脑，就是通过这种动态分配一个公网ip，通过端口nat技术实现ip的共享，来节省公网ip
同时这种技术还使得我们通信变得隐秘。

静态nat技术：
实现一对一捆绑，比如一个内部网络对应一个公网地址，不像动态nat那样一直在改变公网ip，这种方式对节约公网地址没多大用
主要是有些互联网公司为了安全，隐秘性来设置映射，因为用户不能接受时刻在变化的域名，同时互联网公司的服务器也不能直接
暴露在互联网上