查看單個文章
舊 2003-07-17, 11:11 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 用iptables實現NAT

本文版權由linuxAid和作者所有

摘要:本文是「用iptales實現包過慮型防火牆」的姊妹篇,主要介紹如何使用iptbales實現linux2.4下的強大的NAT功能。關於iptables的詳細語法請參考「用iptales實現包過慮型防火牆」一文。需要申明的是,本文絕對不是NAT-HOWTO的簡單重複或是中文版,在整個的敘述程序中,作者都在試突用自己的語言來表達自己的理解,自己的思想。

一、概述

1. 什麼是NAT
在傳統的標準的TCP/IP通信程序中,所有的路由器僅僅是充當一個中間人的角色,也就是通常所說的存儲轉發,路由器並不會對轉發的資料包進行修改,更為確切的說,除了將源MAC位址換成自己的MAC位址以外,路由器不會對轉發的資料包做任何修改。NAT(Network Address Translation網路位址翻譯)恰恰是出於某種特殊需要而對資料包的源ip位址、目的ip位址、源連接阜、目的連接阜進行改寫的操作。

2. 為什麼要進行NAT
我們來看看再什麼情況下我們需要做NAT。
假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP位址都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發佈信息,這時候我們就可以通過NAT來提供這種服務了。我們可以再防火牆的外部網路卡上綁定多個合法IP位址,然後通過NAT技術使發給其中某一個IP位址的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器回應包偽裝成該合法IP發出的包。
再比如使用撥號上網的網咖,因為只有一個合法的IP位址,必須採用某種手段讓其他機器也可以上網,通常是採用代理伺服器的方式,但是代理伺服器,尤其是套用層代理伺服器,只能支持有限的傳輸協定,如果過了一段時間後又有新的服務出來,則只能等待代理伺服器支持該新套用的昇級版本。如果採用NAT來解決這個問題,
因為只在套用層以下進行處理,不但可以獲得很高的訪問速度,而且可以無縫的支持任何新的服務或套用。
還有一個方面的套用就是重轉發IP,也就是當接收到一個包後,不是轉發這個包,而是將其重轉發IP到系統上的某一個應用程式。最一般的套用就是和squid配合使用成為透明代理,在對http流量進行緩衝的同時,可以提供對Internet的無縫訪問。

3. NAT的類型
在linux2.4的NAT-HOWTO中,作者從原理的角度將NAT分成了兩種類型,即源NAT(SNAT)和目的NAT(DNAT),顧名思義,所謂SNAT就是改變轉發資料包的源位址,所謂DNAT就是改變轉發資料包的目的位址。

二、原理

下圖是linux2.4的原理圖:

在「用iptales實現包過慮型防火牆」一文中我們說過,netfilter是Linux 核心中一個通用架構,它提供了一系列的"表"(tables),每個表由若干"鏈"(chains)組成,而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候,我們所使用的表不再是"filter",而是"nat"表,所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter",所以在使用filter功能時,我們沒有必要顯式的指明"-t filter"。
同filter表一樣,nat表也有三條預設的"鏈"(chains),這三條鏈也是規則的容器,它們分別是:
PREROUTING:可以在這裡定義進行目的NAT的規則,因為路由器進行路由時只檢查資料包的目的ip位址,所以為了使資料包得以正確路由,我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這裡定義進行源NAT的規則,系統在決定了資料包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本機產生的資料包的目的NAT規則。

三、操作語法

如前所述,在使用iptables的NAT功能時,我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:

1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I),通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。

2. 指定源位址和目的位址

通過--source/--src/-s來指定源位址(這裡的/表示或者的意思,下同),通過--destination/--dst/-s來指定目的位址。可以使用以下四中方法來指定ip位址:
a. 使用完整的域名,如「www.linuxaid.com.cn」;
b. 使用ip位址,如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路位址,如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路位址,如「192.168.1.0/24」這裡的24表明了子網掩碼的有效位數,這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32,也就是說指定192.168.1.1等效於192.168.1.1/32。


3. 指定網路接頭

可以使用--in-interface/-i或--out-interface/-o來指定網路接頭。從NAT的原理可以看出,對於PREROUTING鏈,我們只能用-i指定進來的網路接頭;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路接頭。

4. 指定傳輸協定及連接阜

可以通過--protocol/-p選項來指定傳輸協定,如果是udp和tcp傳輸協定,還可--source-port/--sport和 --destination-port/--dport來指明連接阜。

四、準備工作

1. 編譯內核,編譯時選以下選項,具體可參看「用iptales實現包過慮型防火牆」一文:

<M> Full NAT
<M> MASQUERADE target support
<M> REDIRECT target support

2. 要使用NAT表時,必須首先載入相關模組:

modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模組會在執行時自動載入。


五、使用實例

1. 源NAT(SNAT)

比如,更改所有來自192.168.1.0/24的資料包的源ip位址為1.2.3.4:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4

這裡需要注意的是,系統在路由及過慮等處理直到資料包要被送出時才進行SNAT。

有一種SNAT的特殊情況是ip欺騙,也就是所謂的Masquerading,通常建議在使用撥號上網的時候使用,或者說在合法ip位址不固定的情況下使用。比如

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

可以看出,這時候我們沒有必要顯式的指定源ip位址等信息。

2. 目的SNAT(DNAT)

比如,更改所有來自192.168.1.0/24的資料包的目的ip位址為1.2.3.4:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4

這裡需要注意的是,系統是先進行DNAT,然後才進行路由及過慮等操作。

有一種DNAT的特殊情況是重轉發IP,也就是所謂的Redirection,這時候就相當於將符合條件的資料包的目的ip位址改為資料包進入系統時的網路接頭的ip位址。通常是在與squid配置形成透明代理時使用,假設squid的監聽連接阜是3128,我們可以通過以下語句來將來自192.168.1.0/24,目的連接阜為80的資料包重轉發IP到squid監聽
連接阜:

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80
-j REDIRECT --to-port 3128

六、綜合例子

1. 使用撥號帶動區域網路上網

小型企業、網咖等多使用撥號網路上網,通常可能使用代理,但是考慮到成本、對傳輸協定的支持等因素,建議使用ip欺騙方式帶動區域網上網。

成功昇級內核後安裝iptables,然後執行以下指令碼:

#載入相關模組
modprobe ip_tables
modprobe ip_nat_ftp

#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

2. ip映射

假設有一家ISP提供園區Internet接入服務,為了方便管理,該ISP分配給園區用戶的IP位址都是偽IP,但是部分用戶要求建立自己的WWW伺服器對外發佈信息。我們可以再防火牆的外部網路卡上綁定多個合法IP位址,然後通過ip映射使發給其中某一個IP位址的包轉發至內部某一用戶的WWW伺服器上,然後再將該內部WWW伺服器回應包偽裝成該合法IP發出的包。

我們假設以下情景:

該ISP分配給A服務機構www伺服器的ip為:
偽ip:192.168.1.100
真實ip:202.110.123.100

該ISP分配給B服務機構www伺服器的ip為:
偽ip:192.168.1.200
真實ip:202.110.123.200

linux防火牆的ip位址分別為:
局內網接頭eth1:192.168.1.1
外網接頭eth0:202.110.123.1

然後我們將分配給A、B服務機構的真實ip綁定到防火牆的外網接頭,以root權限執行以下指令:

ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0

成功昇級內核後安裝iptables,然後執行以下指令碼:

#載入相關模組
modprobe ip_tables
modprobe ip_nat_ftp

首先,對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有資料包進行目的NAT(DNAT):

iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200

其次,對防火牆接收到的源ip位址為192.168.1.100和192.168.1.200的資料包進行源NAT(SNAT):

iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200

這樣,所有目的ip為202.110.123.100和202.110.123.200的資料包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的資料包都將分別被偽裝成由202.110.123.100和202.110.123.200,從而也就實現了ip映射。


psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次