请教：NAT类型对称和全锥有啥区别？UPnP为什么不建议开启？

weiweiwitch

NAT类型以及uPnp最终都和安全有关。

先说NAT类型。
全锥就是路由器上的NAT做的地址以及端口转换你和内网机器要连接的外网地址和端口几乎没有关系。
这种情况下。你内网机器用30000端口连接某个外网服务器（比如某个游戏服务器）。
如果是无连接的协议（比如UDP），那么某个技术高手，就能通过连接你路由器的30000端口，直接和你内网的机器通讯。
因为你的路由器的30000端口和你内网机器的30000端口是一对一映射的。
非全锥的话，你内网机器连接某个外网服务器，只有这个外网服务器可以通过你路由器的30000端口反向和你内网机器通讯。其他人是不可以的（路由器发现通讯地址不对，是拒绝映射的）。
很多内网穿透的工具，就是借助全锥的这个特性实现的。

至于uPnp，就是将你路由器对外开口的权限交给了内网机器上的某个软件。
如果这个软件是恶意软件，或者说有安全漏洞（比如之前的某个BT软件）。
那么，你的内网环境就会在不经意间，因为这个软件，彻底暴露给外网黑客。他们能直接连接这个恶意软件，并控制你整个内网。


IPv4的NAT，相当于天然的半个防火墙。
因为路由器不会主动对外提供服务，所以，外网黑客是无法通过直接和路由器建立连接来和内网机器主动通讯。剩下的路，就是在内网机器和外面机器通讯时找漏洞和机会。
全锥和uPnp就容易给黑客这样的机会。

weiweiwitch

futurejl 发表于 2023-10-11 09:32
那结论是？  全锥开还是不开？UPNP开还是不开?

看你有没有外网连你内网机器的需求。
有的话就按照，全锥、端口映射、upnp、dmz这个优先级来。
其实dmz挺危险的，而且前面几步基本能覆盖dmz的作用了。