双 NAT 配置之后,公网 IP 咋消失了……

原创 已于 2025-09-01 18:30:14 修改 · 900 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2025-09-01 16:12:01 首次发布

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

很多网工第一次接触 NAT(网络地址转换)时,觉得它就是个“内网转公网”的工具,简单易用。

可一旦在网络里叠加了 双 NAT(比如防火墙、路由器同时做 NAT),就经常会遇到一个令人头疼的问题:

明明申请的公网 IP 在哪?怎么一查发现全是私网地址,公网 IP 好像“凭空消失”了?

今天我们就来彻底讲清楚:

双 NAT 背后的逻辑是什么,为什么公网 IP 会“消失”,以及实际环境中如何避免这种坑。

1. NAT 的基本逻辑回顾

  • 源 NAT(SNAT):把内网地址(10.x、172.x、192.168.x)转换成公网地址,对外访问。

  • 目的 NAT(DNAT):把公网 IP 映射到内网服务器,供外部访问。

  • NAT 表:记录源地址/端口与转换后的地址/端口的映射关系。

一句话:NAT 就是改地址+改端口,靠状态表维持双向通信。

2. 双 NAT 场景长啥样?

常见场景:

  • 企业出口:

    • 防火墙做了一层 NAT,把内网转成一个私有地址池。

    • 出口路由器再做一层 NAT,把这个私有地址池转成公网 IP。

    • 结果:外网看不到真实公网 IP,甚至 trace 发现出站流量跳的全是“私网”。

  • ISP 场景:

    • 运营商在小区宽带前面加了一层 NAT(CGNAT,大规模 NAT)。

    • 用户再在自家路由器做 NAT。

    • 结果:家里电脑根本拿不到公网 IP,公网访问全靠运营商 NAT 池。

3. 为啥公网 IP 会“消失”?

(1)被“掩盖”

第一层 NAT 已经把源地址改掉,公网 IP 压根没有参与到 NAT 映射里,后续所有流量都走私网 NAT。

(2)路由不可达

双 NAT 里如果路由没配好,公网地址段根本不会下发到内网路由表,设备只认 NAT 后的私网。

(3)运营商限制

有些宽带套餐不给真正的公网地址,而是直接丢你到 CGNAT 池里。即便申请了公网 IP,但没配置到位,仍然是“消失”状态。

4. 双 NAT 带来的实际问题

  1. 公网服务发布失败

    • DNAT 一层可以,双 NAT 基本“废掉”,因为外层 NAT 根本不知道你内层的私网怎么对应。

  2. 排障难度翻倍

    • ping 不通?trace 一下全是私网跳点,根本定位不到真实问题。

  3. VPN/游戏/远程桌面异常

    • 双 NAT 场景下,点对点应用最容易崩。

  4. 性能损耗

    • NAT 本质是状态表,双 NAT 需要维护两份表项,CPU/内存压力大。

5. 如何避免公网 IP “消失”?

  1. 明确 NAT 角色分工

    • 出口设备最好只保留一层 NAT,避免防火墙/路由器重复做转换。

  2. 桥接模式(Bypass NAT)

    • 防火墙只做安全策略,不做 NAT;统一在路由器完成地址转换。

  3. 申请真正的公网 IP

    • 避免被 CGNAT“套娃”,有公网需求必须向运营商要“独享公网 IP”。

  4. 内网分层规划

    • 内层 NAT 使用私网地址,外层 NAT 负责公网出口,保持映射关系清晰。

结语

双 NAT 最大的问题就是——

公网 IP 没有“消失”,只是被 NAT 层层掩盖了。这类问题在家庭宽带(运营商 NAT)和企业多层出口(防火墙+路由器)场景最常见。

如果你发现网络出口查不到公网 IP,首先要想清楚:到底哪台设备在做 NAT?公网 IP 是在谁手里?

搞清楚这一点,你就能精准定位问题,不至于再“怀疑人生”。

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

Linux 利用 IP转发使内网连接到公网
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-06 6032
项目背景描述 实现方法 我们知道,Linux本身自带iptables包过滤,但是其还有一重要功能,即实现数据的转发,本文就利用Linux 自带 iptables 实现从一个网络接口到另一个接口的IP转发(数据包转发)。IP转发的概念是,使 Linux 机器像路由器一样将数据从一个网络发送到另一个网络。所以,它能作为一个路由器或者代理服务器,实现将一个连接的互联网或者网络连接共享给多个客户端机器。 ......
一文读懂内网、公网NAT
永远在学习Linux之路上
06-25 1152
我们做弱电监控系统的时候,都避免不了要跟IP地址打交道,比如摄像头、NVR、服务器等这些设备安装好之后,就需要给它们配上IP,那这个IP地址你了解嘛?今天我们就一起来聊聊什么是内网、公网NAT地址转换? 1、内网、公网NAT的定义 内网也叫局域网,从范围上来讲内网就是小部分的网络,一般指的是特定环境下组成网络,比如某一个家庭多台计算机互联成的网络,也可以学校和公司的大型局域网,内网的IP...
NAT,PPTP ×××搭建,访问实验
weixin_34303897的博客
04-01 508
突然一天,万恶的电信偷偷把咱的拨号上网获取地址给换成了100.64.*.*(查了一下资料,据说是分配给ISP的内网地址)。当时俺可是在路由器(openwrt,壮哉我大linux)上刷IP来挂qq所在地,这样一弄我的脚本还怎么用呀。突然又联想到,以后要访问自己的内网服务器咋办。于是就有了下面的实验。 实验思路,在互联网上有一台自己的VPS,2地通过pptp ×××拨号...
frp0.54.0 NAT问题的配置
2301_81061956的博客
05-01 542
第四步(可选),在第二层NAT(i.e.客户端服务器所在的NAT)上开放端口,也叫搭建虚拟服务器,和第一层的操作类似,但是内网端口为你的所需服务的监听端口,外网端口为你的服务对应的remoteport,协议与第一层一样。开放至少两个内外网端口,且内外网端口要一样,比如一个内网端口是34567,那么外网端口也是34567;你需要的服务对应的remoteport改为你所开放的另一个外网端口,如34568。第一步,在服务端上搭建frps,具体步骤不在此说明(此处的服务端是接入NAT的机器,本身没有公网IP)。
NATNAT穿透(二)
热门推荐
ustcgy的专栏
06-08 3万+
5. NAT穿透5.1 转发     最可靠但又是最低效的点对点通信方法,莫过于将p2p网络通信看作一个C/S结构,通过服务器来转发信息.如下图,两个客户端A和B,均与服务器S初始化了一个TCP或UDP连接,服务器S具有公网固定IP地址,两个客户端分布在不同的私网中,这样,他们各自的NAT代理服务器将不允许他们进行直连.                                    Server S                                          |        
五、NAT
u012451051的博客
11-24 4281
NAT地址池中的地址配置成和私网服务器在同一网段,当私网服务器回应公网用户的访问请求时,发现自己的地址和目的地址在同一网段,此时私网服务器就不会去查找路由,而是发送ARP广播报文询问目的地址对应的MAC。答案是肯定不会影响,但是配置了有它本身的好处。在配置NAT策略时,destination-address:由于先进行NAT Server转换,再进行源NAT转换,所以此处的目的地址是NAT Server转换后的地址,即服务器的私网地址。这里配置的源NAT,虽然叫源NAT,考虑的时候是反着来的。
NAT=源NAT+NAT Server,有这么6?
09-18 2499
首先,我们需要定义哪些接口是内部接口,哪些是外部接口。
路由器设置内网端口映射到外网访问详细步骤图解教程,附无公网ip端口映射工具方法
csghdn的博客
09-15 2283
公司或学校或自己家里内部的服务器出于一些原因无法连接外网,这时我们又想远程访问,如何操作?在现代网络架构中,端口映射是连接私有网络与互联网的关键技术,它允许外部用户通过公网IP访问内网服务。端口映射通过网络地址转换技术,将公网IP的特定端口请求定向到内网设备的地址和端口。例如,当外部用户访问123.123.123.123:80时,路由器会根据配置将流量转发至内网服务器的192.168.1.10:80。对于无公网IP网络,则可以使用nat123端口映射外网访问,或类似内网穿透技术应用方式实现。
DHCP的工作原理 公网IP与私网IP 网络通信的流程与数据包发送 网卡的工作原理 网卡丢包问题
Yosigo_的博客
04-01 2325
网络通信的四个要素 本机的IP地址 子网掩码 网关的IP地址 DNS服务器的IP地址 获取以上配置,有两种方式 : 静态获取==》手动配置 动态获取==》dhcp自动获取 DHCP的作用 自动分配给计算机,IP地址、子网掩码、网关地址、DNS服务器等等参数。 DHCP的工作原理 dhcpclient(68号端口)------------->dhcpserver(67号端口) - 计算机默认会安装dhcp客户端软件 - dhcp的服务端会安装在路由器上 以太网头 ip
精选资源
综合组网实验(eNSP)(vlan、vlan间通信、nat地址转换、acl、dhcp、ospf……)
01-09
实验中可能需要配置NAT,以允许内部网络的设备通过公网接口访问外部网络。 7. ACL访问控制:ACL是网络访问控制的一种手段,通过定义规则来允许或拒绝特定的流量。实验中,可以使用ACL限制某个实验室的网络通信,...
防火墙和路由器同时做 NAT,会有哪些坑?
08-25 1091
号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部在不少网络架构中,防火墙和路由器都会提供 NAT网络地址转换)功能。很多人以为——。实际上,这种“ NAT配置在某些场景下会引发一系列让人抓狂的网络问题,尤其是排障时经常被忽视。今天我们就来彻底分析一下:当防火墙和路由器同时做 NAT,会出现哪些坑?为什么会出坑?怎么避免?1. 场景设定假设一个常见的中小企业出口架构:内网 → 防火墙(NAT) → 路由器(NAT) → 运营商 → 互联网。
彻底搞懂IP地址:内网IP公网IP,动态IP,静态IP
BXCQ_xuan的技术专栏 | 实战干货·实践教程·学习笔记
04-30 4077
类别范围是否可路由典型场景示例私有IP局域网内部否宿舍局域网、热点内网172.25.206.211(我的校园网IP公网IP全球唯一是云服务器、部分宽带110.87.4.243(我的校园网出口IP)动态IP可能变动是/否家庭宽带、校园网114.34.12.56(日变)静态IP长期固定是企业专线、云服务CGNAT IP多用户共享否移动流量、部分宽带附录:IP地址自查小工具检测本地IP:Windows命令行输入ipconfig/ Mac终端输入。
P2P技术详解(二):P2P中的NAT穿越(打洞)方案详解
01-08 1145
1、内容概述 P2P即点对点通信,或称为对等联网,与传统的服务器客户端模式(如下图“P2P结构模型”所示)有着明显的区别,在即时通讯方案中应用广泛(比如IM应用中的实时音视频通信、实时文件传输甚至文字聊天等)。P2P可以是一种通信模式、一种逻辑网络模型、一种技术、甚至一种理念。在P2P网络中(如右图所示),所有通信节点的地位都是对等的,每个节点都扮演着客户机和服务器重角色,节点之间通...
简单有趣的NAT实验
qq_44026969的博客
03-24 567
实验拓扑: 实验要求: R3在正常情况下从电信访问互联网,电信断网后,自动切换至联通线路 配置思路: R3路由器上配置浮动静态路由,在f/1/0口配置Track路由跟踪,实时监测电信链路实现路由层面的切换;配置两个Route-map分别抓取电信和联通线路的下一跳,与Nat地址转换结合实现数据层面的切换。 配置: Track跟踪: ip sla 1 icmp-echo 10.1.13.1 so...
两层NAT映射结构的iptables设置
学会踏实
04-04 1396
开发环境和应用场景 开发环境 操作系统:Ubuntu Server 16.04 LTS VPN服务器:pptpd web服务器:Apache2 4g路由器:山东有人科技的4g路由器G781 摄像头:海康威视 IPC 应用场景 4g路由器下挂载了海康的网络摄像头,同时4g路由器连接了VPN服务器,海康给了web页面调用摄像头视频的js接口,需要实现用户打开访问web服务器...
思科路由器的NAT
weixin_34381666的博客
03-12 1686
目的:通过NAT来更深的理解NAT在思科IOS中的数据包处理顺序前提:在真实环境中不会出现环境:将R1和R3模拟成PC,在不加网关的情况下,使两者能够正常通信。定义R2的f0/0为ip nat inside;f1/0为ip nat outside。我先贴出思科IOS的数据包处理的顺序NATOverviewInthistable,whenNATperforms...
实现层路由,外网远程(ssh/sftp/http)访问内网的家里 linux服务端
seowen的开发 小本子
04-01 7397
目的:为了,在公司里,可以远程连接家里的 linux服务器,来完成一些工作。 先介绍我家里的 网络情况: 电信光猫入户(默认是路由模式工作,可让电信维修人员,更改为桥接模式) 跟光猫相连的是,一个TP-Link ---WVR458 企业级路由器(也可以是家用的) 书房一个TP-WDR7400 家用路由器。 一台Centons7系统的电脑、一台Ubuntu18系统的电脑 花生壳账号一个...
网络安全漏洞之React 框架分析
最新发布
anquan2233的博客
12-04 806
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
全面解析NAT测试工具:检查NAT状态与公网IP
网络技术领域,NAT网络地址转换)是一种广泛使用的技术,它允许私有网络中的多台设备共用一个公共IP地址访问互联网。NAT测试工具是用于检查和诊断NAT配置和功能的实用程序,特别适用于网络管理员和技术人员在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值