请教：NAT类型对称和全锥有啥区别？UPnP为什么不建议开启？

雨季不再来

如题。有些不明白这里面的道理。

为什么路由器设置是全锥的，app会显示是DMZ公网型呢？没做过什么端口映射，只是开了UPnP。华硕的无线路由器AX86U。

dcl2009

对称型吧

不严谨的解释：

全锥的意思是PC想开放哪个端口给外网，路由器就开放这个端口映射给PC

对称的意思是PC想开放哪个端口，路由器随机开放某个端口，然后映射这个端口给PC

比方说PC说我想开放888端口接受数据，全锥路由器就开放888，然后映射给PC，对称随机开个端口，然后映射给PC

如果两边都是对称型的那就好玩了，PC1说我开了888端口，实际999，PC2说我也开放了888端口，实际666，这样谁也访问不了谁，只要有其中一方不是对称型（端口受限锥型+对称也不能打洞），那就可以通过互发数据包的形式打洞直连

weiweiwitch

NAT类型以及uPnp最终都和安全有关。

先说NAT类型。
全锥就是路由器上的NAT做的地址以及端口转换你和内网机器要连接的外网地址和端口几乎没有关系。
这种情况下。你内网机器用30000端口连接某个外网服务器（比如某个游戏服务器）。
如果是无连接的协议（比如UDP），那么某个技术高手，就能通过连接你路由器的30000端口，直接和你内网的机器通讯。
因为你的路由器的30000端口和你内网机器的30000端口是一对一映射的。
非全锥的话，你内网机器连接某个外网服务器，只有这个外网服务器可以通过你路由器的30000端口反向和你内网机器通讯。其他人是不可以的（路由器发现通讯地址不对，是拒绝映射的）。
很多内网穿透的工具，就是借助全锥的这个特性实现的。

至于uPnp，就是将你路由器对外开口的权限交给了内网机器上的某个软件。
如果这个软件是恶意软件，或者说有安全漏洞（比如之前的某个BT软件）。
那么，你的内网环境就会在不经意间，因为这个软件，彻底暴露给外网黑客。他们能直接连接这个恶意软件，并控制你整个内网。


IPv4的NAT，相当于天然的半个防火墙。
因为路由器不会主动对外提供服务，所以，外网黑客是无法通过直接和路由器建立连接来和内网机器主动通讯。剩下的路，就是在内网机器和外面机器通讯时找漏洞和机会。
全锥和uPnp就容易给黑客这样的机会。

雨季不再来

dcl2009 发表于 2023-10-10 15:41
对称型吧

不严谨的解释：

是对称型！谢谢提醒！！

Mashiro_plan_C

UPnP是自动端口映射，当前有应用需要才映射那个端口出去

naoki66

现在一堆应用HCDN，vod之类的给你映射出去。把你的设备变成CDN设备，占用上行带宽。能不开还是不开吧。

啵妞妞

有需要的话开DMZ就足够了。 现在国内用网环境这么恶劣，很多恶意软件和APP。 一不小心就成为别人的节点了，UPNP千万不要随便打开。

futurejl

那结论是？  全锥开还是不开？UPNP开还是不开?

雨季不再来

啵妞妞 发表于 2023-10-11 09:08
有需要的话开DMZ就足够了。 现在国内用网环境这么恶劣，很多恶意软件和APP。 一不小心就成为别人的节点了， ...

DMZ？那不就是完全敞开了吗？ DMZ比UPnP开放更彻底啊。   

啵妞妞

雨季不再来 发表于 2023-10-11 10:00
DMZ？那不就是完全敞开了吗？ DMZ比UPnP开放更彻底啊。

对啊，DMZ只能开一台在你可控范围内。 一般开放给PC。后台流量占用你一清二楚，比较安全。你要全开放的话，有一些智能机顶盒手机恶意软件偷偷后台给你映射。

weiweiwitch

futurejl 发表于 2023-10-11 09:32
那结论是？  全锥开还是不开？UPNP开还是不开?

看你有没有外网连你内网机器的需求。
有的话就按照，全锥、端口映射、upnp、dmz这个优先级来。
其实dmz挺危险的，而且前面几步基本能覆盖dmz的作用了。

zhuifeng88

雨季不再来 发表于 2023-10-11 10:00
DMZ？那不就是完全敞开了吗？ DMZ比UPnP开放更彻底啊。

DMZ只是完全敞开给某一个设备, 但完全敞开的对象的防火墙还是正常运作的, 而且没有进一步的信息, 但UPNP可以获取哪个设备开了哪些的列表, 从防内网不太干净的软件的角度来说UPNP扒得更彻底

huhudna

weiweiwitch 发表于 2023-10-10 15:47
NAT类型以及uPnp最终都和安全有关。

先说NAT类型。

哇哦，那我uPnp还是关了吧。现在也用不到。以前挂网心云用到过

雨季不再来

zhuifeng88 发表于 2023-10-11 10:13
DMZ只是完全敞开给某一个设备, 但完全敞开的对象的防火墙还是正常运作的, 而且没有进一步的信息, 但UPNP ...

原来是这样啊。防外网应该是UPNP比DMZ好点了。

futurejl

weiweiwitch 发表于 2023-10-11 10:04
看你有没有外网连你内网机器的需求。
有的话就按照，全锥、端口映射、upnp、dmz这个优先级来。
其实dmz挺 ...

全锥 还是能用是吧？  我也没有啥服务设备，就PC+笔记本+手机连WIFI

zexin4

学习一下，我的光猫dmz给京东云了。。。

cfan7777777

weiweiwitch 发表于 2023-10-10 15:47
NAT类型以及uPnp最终都和安全有关。

先说NAT类型。

用过的路由器除了ipv6好像没看到过能设置全锥，对称的？

luowenen

huhudna 发表于 2023-10-11 10:30
哇哦，那我uPnp还是关了吧。现在也用不到。以前挂网心云用到过

关了很多靠P2P加速视频播放软件卡死你~~

sevastian

dcl2009 发表于 2023-10-10 15:41
对称型吧

不严谨的解释：

fullcone不是这样理解的，没有说网关映射的端口一定要和主机端口一致，两者之间是随机的。如果映射闲置超时，网关可以回收端口给其他主机或端口映射。