NAT網(wǎng)關(guān)porttriggering功能設(shè)計與實現(xiàn).pdf

1、為了解決IPv4地址空間匱乏和局域網(wǎng)安全等問題，采用基于NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）方式的ADSL路由器上網(wǎng)方式是目前中小型辦公室和家庭用戶連接互聯(lián)網(wǎng)的最主流接入方式。而Linux系統(tǒng)是一個免費的開源操作系統(tǒng)，并且由于其內(nèi)核易于擴展和裁減，高效率等諸多優(yōu)點，大部分的NAT應(yīng)用網(wǎng)關(guān)等嵌入式系統(tǒng)采用Linux內(nèi)核作為其核心。
　　 雖然采用NAT連網(wǎng)方式在一定程度上解決了IP址址不足和增加了局域網(wǎng)的安全性，但這種方式也給隱藏在NAT網(wǎng)關(guān)背

2、后的主機在某些軟件的使用上帶來一些問題。因為在這種情況下內(nèi)網(wǎng)與外網(wǎng)進行通信時只能由內(nèi)部主機主動發(fā)起，外網(wǎng)主機是無法主動與內(nèi)網(wǎng)主機進行通信的。
　　 例如在使用IRC通信軟件時，NAT網(wǎng)關(guān)后的IRC客戶端首先會通過TCP連接外網(wǎng)IRC服務(wù)器的6667端口，來完成用戶賬號的確認(rèn)，之后服務(wù)器收到請求后會主動發(fā)去連接客戶端的113號端口進行數(shù)據(jù)通信。但這NAT方式下，服務(wù)器發(fā)給客戶端113端口的數(shù)據(jù)包是無法穿越NAT網(wǎng)關(guān)到達客戶端的。<

3、br>　　 本文在基于Linux2.6版本內(nèi)核的NAT網(wǎng)關(guān)上設(shè)計和實現(xiàn)了一種解決方案——即Port triggering內(nèi)核模塊。主要原理是基于Linux內(nèi)核中NETFILTER框架的鉤子函數(shù)和CONNTRACK模塊進行數(shù)據(jù)包流動的探測，然后再利用 NAT模塊來實現(xiàn)外網(wǎng)數(shù)據(jù)包穿越NAT網(wǎng)關(guān)到達內(nèi)網(wǎng)的功能。這種實現(xiàn)方式相比現(xiàn)行的作法不僅在實現(xiàn)上更為簡潔，而且當(dāng)內(nèi)網(wǎng)發(fā)給外網(wǎng)的數(shù)據(jù)包后一定的時間段內(nèi)，如果外網(wǎng)主機還未連接內(nèi)網(wǎng)主機的另一端口，