nat机器介绍

nat指n台机器共享一个ipv4和独享一个ipv6的机子，一般非常便宜但不好食用
工作原理如图
这里以WebHorizon为例来演示如何正确配置NAT机子

nat的配置

1. 首先开机后进入vps panel如图
   点击2ip地址处可以看到内网ipv4和独享的ipv6，然后复制ipv4地址一般为10.37.×.×如图

2. 然后进入这个网站网址输入内网ipv4(即vps里ip addr得到的ip)会得到公网共享的ipv4和开放的端口，一般这个ipv4都会被墙，如图

   因为webhorizon已经帮助映射好了端口所以这些端口都能直接使用而且只能用这20个端口

3. 通过得到ssh端口，如往常一样输入公网ip4和这个端口以及密码（被墙则科学，当然也能用ipv6连接ssh）进入ssh！
   然后在面板里开启tun/tap和ppp，如图
4. 开启后关机再开机，
   进入ssh输入命令cat /dev/net/tun如果返回cat /dev/net/tun: File descriptor in bad state就表示成功开启了。

5. 最后找到Domain Forwarding点进去转发80和443两个端口(事先找个域名dns添加a记录到公网ipv4)，也只能转发这两个端口，到这里面板已经全部设置完毕了。
   点击➕号红线处填入公网ipv4，http对应80端口https对应443端口，如图

   域名转发介绍

6. 域名转发的目的是使域名绑定的ipv4能够使用80和443两个端口，通过域名转发把你内网IP的80/443转发到公网IP上的80/443，相当于内网寄在公网篱下，当然一定有很多内网用户同时寄居，分配的20个端口不可能有这两个，而这两个端口能够建站用、申请证书用、科学用或者套cf用， 直连 的话没法申请证书，会提示错误，导致没法开启tls伪装。而对于 套cf 的机子来说则必须使用443端口.
7. 当然如果直连不使用tls则这一步可以省略而且xray也能用只是不安全，但套cf这必须要域名转发。

8. 再或者也不使用域名转发，dns域名只绑定ipv6不绑定ipv4，通过ipv6申请证书或者用cf15年自签证书，ipv6是独享的所以所有端口都能用，但本地没有ipv6的情况下要套cf使用，这时候就相当于把它当成纯ipv6机子用了，有点浪费nat功能了，所以不建议！

   warp，cdn和服务器以及自己与目标网站的关系

9. 直连代理：

你 <=> 代理服务器 <=> 目标网站

目标网站看到的是代理服务器的 IP。
国内第三方（蔷/运营商等）看到你在链接代理服务器的 IP。

2. 代理套Warp：

你 <=> 代理服务器 <=> Warp <=> 目标网站

目标网站看到的是Warp 的 IP，因此才能解锁奈飞。
国内第三方（蔷/运营商等）看到你在链接代里服务器的 IP。

3. 代理套 Cloudflare CDN：

你 <=> CDN <=> 代理服务器 <=> 目标网站

目标网站看到的是代理服务器的 IP。
国内第三方（蔷/运营商等）看到你在链接 Cloudflare CDN 的 IP，因此这样才能防止代理服务器 IP 被蔷。

warp相当于给vps装了一个代理接管vps的对外网络而不会对内与用户沟通，和cdn完全不同也没法防止和拯救ip被墙！所以对于ipv6 only的机子安装warp后能够访问ipv4网站，即你 <=> 代理服务器的ipv6 <=>Warp的ipv4 <=> 目标网站

nat机子总结

所以NAT要么当ipv6only机子套cf玩，要么在ipv4没被墙的情况下域名转发当正常的ipv4机子玩。要么当ipv4被墙时套cf用。
比ipv6only优势在于有个ipv4可以ssh以及对外，对本地没有ipv6网络是个利好。比ipv4优势在于便宜性价比高！但是一般nat都是openvz架构，和母鸡共享内核所以即使安装debian11可能内核还是3.x而且还不能升级，当然也不能开启bbr了！

nat套cf自选ip

见该文章自选cf