upnp 和 natpmp 能一起开吗

UPnP（通用即插即用）和 NAT - PMP（网络地址转换端口映射协议）在大多数情况下是可以一起开启的。这两种技术的目标都是为了让网络设备在连接到网络时，能够自动配置端口转发和相关防火墙规则，方便设备之间的通信。

从技术实现角度来看，UPnP 使用简单服务发现协议（SSDP）进行网络发现，通过 UDP 端口 1900 来传输数据，而其守护进程 miniupnpd 还会使用 TCP 端口 2189。NAT - PMP 则主要由 miniupnpd 处理，使用 UDP 端口 5351。它们各自使用不同的端口进行通信，这在很大程度上避免了端口冲突，为两者同时开启提供了基础。

在实际应用场景中，许多设备和软件都支持 UPnP，如常见的 torrent 客户端、Steam/Steam Deck、任天堂游戏机、PlayStation 游戏机、Xbox 游戏机以及视频会议应用等。而 NAT - PMP 主要受到苹果产品的支持。以家庭网络为例，当用户既拥有苹果设备，又有其他品牌的游戏机或 PC 等设备时，如果希望所有设备都能更便捷地实现网络连接，就可以同时开启 UPnP 和 NAT - PMP。例如，用户在使用 μTorrent 这类支持这两种协议的下载软件时，同时开启 UPnP 和 NAT - PMP，能让软件更轻松地穿透路由器或防火墙，避免手动配置路由器的麻烦，从而实现更高效的下载。

不过，同时开启 UPnP 和 NAT - PMP 也存在一定风险。这两种技术本质上都存在安全隐患，因为任何网络上的程序都可以通过它们允许并转发任何流量，这可能会导致潜在的安全噩梦。为了降低风险，在路由器的 UPnP 服务配置中，通常会有访问控制功能，可以限制哪些设备能够进行端口映射的更改。此外，还可以通过防火墙规则进一步加强控制。例如，合理设置防火墙规则，只允许特定的设备或程序使用 UPnP 和 NAT - PMP 进行端口映射，避免非法设备或恶意程序利用这两个协议进行攻击。同时，还可以设置 UPnP 让程序选择并监听随机端口，而不是始终使用相同的端口进行开放和转发，增加安全性。

在配置方面，如果使用的是 pfsense 软件，在 “services> upnp & nat - pmp” 选项中，只需勾选 “enable upnp & nat - pmp”，再分别勾选 “allow upnp port mapping” 和 “allow nat - pmp port mapping” 即可开启这两个服务。在一些家用路由器的设置界面中，也能找到类似的 UPnP 和 NAT - PMP 开启选项，一般在 “高级设置” 或 “网络设置” 相关的菜单中，按照提示勾选启用即可。但需要注意的是，不同品牌和型号的路由器，其设置界面和路径可能会有所不同。

拓展阅读：
-UPnP 如何实现自动端口映射：UPnP 设备通过 SSDP 协议发现网络中的 UPnP 控制点和设备，设备向控制点发送描述自身服务的 XML 文件，控制点根据需求向设备发送指令，设备根据指令创建端口映射，将内部端口映射到外部网络可访问的端口。
-NAT - PMP 工作流程：当设备需要端口映射时，会向支持 NAT - PMP 的路由器发送请求，包含内部 IP、内部端口、期望的外部端口等信息。路由器接收到请求后，根据自身策略进行端口映射，并返回映射结果给设备。
-常见网络安全风险及防范措施：常见风险有端口扫描、恶意软件攻击等。防范措施包括定期更新系统和软件、开启防火墙、不随意连接未知网络、谨慎下载和安装软件等。