本文主要介紹如何使用iptbales實(shí)現(xiàn)linux2.4下的強(qiáng)大的NAT功能。關(guān)于iptables的詳細(xì)語(yǔ)法請(qǐng)參考“用iptales實(shí)現(xiàn)包過(guò)慮型防火墻”一文。需要申明的是,本文絕對(duì)不是 NAT-HOWTO的簡(jiǎn)單重復(fù)或是中文版,在整個(gè)的敘述過(guò)程中,作者都在試圖用自己的語(yǔ)言來(lái)表達(dá)自己的理解,自己的思想。
一、概述
1. 什么是NAT
在傳統(tǒng)的標(biāo)準(zhǔn)的TCP/IP通信過(guò)程中,所有的路由器僅僅是充當(dāng)一個(gè)中間人的角色,也就是通常所說(shuō)的存儲(chǔ)轉(zhuǎn)發(fā),路由器并不會(huì)對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行修改,更為確切的說(shuō),除了將源MAC地址換成自己的MAC地址以外,路由器不會(huì)對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)包做任何修改。NAT(Network Address Translation網(wǎng)絡(luò)地址翻譯)恰恰是出于某種特殊需要而對(duì)數(shù)據(jù)包的源ip地址、目的ip地址、源端口、目的端口進(jìn)行改寫的操作。
2. 為什么要進(jìn)行NAT
我們來(lái)看看再什么情況下我們需要做NAT。
假設(shè)有一家ISP提供園區(qū)Internet接入服務(wù),為了方便管理,該ISP分配給園區(qū)用戶的IP地址都是偽IP,但是部分用戶要求建立自己的WWW服務(wù)器對(duì)外發(fā)布信息,這時(shí)候我們就可以通過(guò)NAT來(lái)提供這種服務(wù)了。我們可以在防火墻的外部網(wǎng)卡上綁定多個(gè)合法IP地址,然后通過(guò)NAT技術(shù)使發(fā)給其中某一個(gè)IP地址的包轉(zhuǎn)發(fā)至內(nèi)部某一用戶的WWW服務(wù)器上,然后再將該內(nèi)部WWW服務(wù)器響應(yīng)包偽裝成該合法IP發(fā)出的包。
再比如使用撥號(hào)上網(wǎng)的網(wǎng)吧,因?yàn)橹挥幸粋€(gè)合法的IP地址,必須采用某種手段讓其他機(jī)器也可以上網(wǎng),通常是采用代理服務(wù)器的方式,但是代理服務(wù)器,尤其是應(yīng)用層代理服務(wù)器,只能支持有限的協(xié)議,如果過(guò)了一段時(shí)間后又有新的服務(wù)出來(lái),則只能等待代理服務(wù)器支持該新應(yīng)用的升級(jí)版本。如果采用NAT來(lái)解決這個(gè)問(wèn)題,
因?yàn)槭窃趹?yīng)用層以下進(jìn)行處理,NAT不但可以獲得很高的訪問(wèn)速度,而且可以無(wú)縫的支持任何新的服務(wù)或應(yīng)用。
還有一個(gè)方面的應(yīng)用就是重定向,也就是當(dāng)接收到一個(gè)包后,不是轉(zhuǎn)發(fā)這個(gè)包,而是將其重定向到系統(tǒng)上的某一個(gè)應(yīng)用程序。最常見的應(yīng)用就是和squid配合使用成為透明代理,在對(duì)http流量進(jìn)行緩存的同時(shí),可以提供對(duì)Internet的無(wú)縫訪問(wèn)。
3. NAT的類型
在linux2.4的NAT-HOWTO中,作者從原理的角度將NAT分成了兩種類型,即源NAT(SNAT)和目的NAT(DNAT),顧名思義,所謂SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址,所謂DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址。
二、原理
在“用iptales實(shí)現(xiàn)包過(guò)慮型防火墻”一文中我們說(shuō)過(guò),netfilter是Linux 核心中一個(gè)通用架構(gòu),它提供了一系列的"表"(tables),每個(gè)表由若干"鏈"(chains)組成,而每條鏈中可以有一條或數(shù)條規(guī)則(rule)組成。并且系統(tǒng)缺省的表是"filter"。但是在使用NAT的時(shí)候,我們所使用的表不再是"filter",而是"nat"表,所以我們必須使用"-t nat"選項(xiàng)來(lái)顯式地指明這一點(diǎn)。因?yàn)橄到y(tǒng)缺省的表是"filter",所以在使用filter功能時(shí),我們沒(méi)有必要顯式的指明"-t filter"。
同filter表一樣,nat表也有三條缺省的"鏈"(chains),這三條鏈也是規(guī)則的容器,它們分別是:
PREROUTING:可以在這里定義進(jìn)行目的NAT的規(guī)則,因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的ip地址,所以為了使數(shù)據(jù)包得以正確路由,我們必須在路由之前就進(jìn)行目的NAT;
POSTROUTING:可以在這里定義進(jìn)行源NAT的規(guī)則,系統(tǒng)在決定了數(shù)據(jù)包的路由以后在執(zhí)行該鏈中的規(guī)則。
OUTPUT:定義對(duì)本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。
三、操作語(yǔ)法
如前所述,在使用iptables的NAT功能時(shí),我們必須在每一條規(guī)則中使用"-t nat"顯示的指明使用nat表。然后使用以下的選項(xiàng):
1. 對(duì)規(guī)則的操作
加入(append) 一個(gè)新規(guī)則到一個(gè)鏈 (-A)的最后。
在鏈內(nèi)某個(gè)位置插入(insert) 一個(gè)新規(guī)則(-I),通常是插在最前面。
在鏈內(nèi)某個(gè)位置替換(replace) 一條規(guī)則 (-R)。
在鏈內(nèi)某個(gè)位置刪除(delete) 一條規(guī)則 (-D)。
刪除(delete) 鏈內(nèi)第一條規(guī)則 (-D)。
2. 指定源地址和目的地址
通過(guò)--source/--src/-s來(lái)指定源地址(這里的/表示或者的意思,下同),通過(guò)--destination/--dst/-s來(lái)指定目的地址。可以使用以下四中方法來(lái)指定ip地址:
a. 使用完整的域名,如“www.linuxaid.com.cn”;
b. 使用ip地址,如“192.168.1.1”;
c. 用x.x.x.x/x.x.x.x指定一個(gè)網(wǎng)絡(luò)地址,如“192.168.1.0/255.255.255.0”;
d. 用x.x.x.x/x指定一個(gè)網(wǎng)絡(luò)地址,如“192.168.1.0/24”這里的24表明了子網(wǎng)掩碼的有效位數(shù),這是 UNIX環(huán)境中通常使用的表示方法。
缺省的子網(wǎng)掩碼數(shù)是32,也就是說(shuō)指定192.168.1.1等效于192.168.1.1/32。
3. 指定網(wǎng)絡(luò)接口
可以使用--in-interface/-i或--out-interface/-o來(lái)指定網(wǎng)絡(luò)接口。從NAT的原理可以看出,對(duì)于PREROUTING鏈,我們只能用-i指定進(jìn)來(lái)的網(wǎng)絡(luò)接口;而對(duì)于POSTROUTING和OUTPUT我們只能用-o指定出去的網(wǎng)絡(luò)接口。
4. 指定協(xié)議及端口
可以通過(guò)--protocol/-p選項(xiàng)來(lái)指定協(xié)議,如果是udp和tcp協(xié)議,還可--source-port/--sport和 --destination-port/--dport來(lái)指明端口。
四、準(zhǔn)備工作
1. 編譯內(nèi)核,編譯時(shí)選中以下選項(xiàng),具體可參看“用iptales實(shí)現(xiàn)包過(guò)慮型防火墻”一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2. 要使用NAT表時(shí),必須首先載入相關(guān)模塊:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模塊會(huì)在運(yùn)行時(shí)自動(dòng)載入。
五、使用實(shí)例
1. 源NAT(SNAT)
比如,更改所有來(lái)自192.168.1.0/24的數(shù)據(jù)包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4
這里需要注意的是,系統(tǒng)在路由及過(guò)慮等處理直到數(shù)據(jù)包要被送出時(shí)才進(jìn)行SNAT。
有一種SNAT的特殊情況是ip欺騙,也就是所謂的Masquerading,通常建議在使用撥號(hào)上網(wǎng)的時(shí)候使用,或者說(shuō)在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出,這時(shí)候我們沒(méi)有必要顯式的指定源ip地址等信息。
2. 目的SNAT(DNAT)
比如,更改所有來(lái)自192.168.1.0/24的數(shù)據(jù)包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4
這里需要注意的是,系統(tǒng)是先進(jìn)行DNAT,然后才進(jìn)行路由及過(guò)慮等操作。
有一種DNAT的特殊情況是重定向,也就是所謂的Redirection,這時(shí)候就相當(dāng)于將符合條件的數(shù)據(jù)包的目的ip地址改為數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)的網(wǎng)絡(luò)接口的ip地址。通常是在與squid配置形成透明代理時(shí)使用,假設(shè)squid的監(jiān)聽端口是3128,我 們可以通過(guò)以下語(yǔ)句來(lái)將來(lái)自192.168.1.0/24,目的端口為80的數(shù)據(jù)包重定向到squid監(jiān)聽
端口:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80
-j REDIRECT --to-port 3128
六、綜合例子
1. 使用撥號(hào)帶動(dòng)局域網(wǎng)上網(wǎng)
小型企業(yè)、網(wǎng)吧等多使用撥號(hào)網(wǎng)絡(luò)上網(wǎng),通常可能使用代理,但是考慮到成本、對(duì)協(xié)議的支持等因素,建議使用ip欺騙方式帶動(dòng)區(qū)域網(wǎng)上網(wǎng)。
成功升級(jí)內(nèi)核后安裝iptables,然后執(zhí)行以下腳本:
#載入相關(guān)模塊
modprobe ip_tables
modprobe ip_nat_ftp
#進(jìn)行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. ip映射
假設(shè)有一家ISP提供園區(qū)Internet接入服務(wù),為了方便管理,該ISP分配給園區(qū)用戶的IP地址都是偽IP,但是部分用戶要求建立自己的WWW服務(wù)器對(duì)外發(fā)布信息。我們可以再防火墻的外部網(wǎng)卡上綁定多個(gè)合法IP地址,然后通過(guò)ip映射使發(fā)給其中某一 個(gè)IP地址的包轉(zhuǎn)發(fā)至內(nèi)部某一用戶的WWW服務(wù)器上,然后再將該內(nèi)部WWW服務(wù)器響應(yīng)包偽裝成該合法IP發(fā)出的包。
我們假設(shè)以下情景:
該ISP分配給A單位www服務(wù)器的ip為:
偽ip:192.168.1.100
真實(shí)ip:202.110.123.100
該ISP分配給B單位www服務(wù)器的ip為:
偽ip:192.168.1.200
真實(shí)ip:202.110.123.200
linux防火墻的ip地址分別為:
內(nèi)網(wǎng)接口eth1:192.168.1.1
外網(wǎng)接口eth0:202.110.123.1
然后我們將分配給A、B單位的真實(shí)ip綁定到防火墻的外網(wǎng)接口,以root權(quán)限執(zhí)行以下命令:
ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
成功升級(jí)內(nèi)核后安裝iptables,然后執(zhí)行以下腳本:
#載入相關(guān)模塊
modprobe ip_tables
modprobe ip_nat_ftp
首先,對(duì)防火墻接收到的目的ip為202.110.123.100和202.110.123.200的所有數(shù)據(jù)包進(jìn)行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200
其次,對(duì)防火墻接收到的源ip地址為192.168.1.100和192.168.1.200的數(shù)據(jù)包進(jìn)行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200
這樣,所有目的ip為202.110.123.100和202.110.123.200的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給192.168.1.100和192.168.1.200;而所有來(lái)自192.168.1.100和192.168.1.200的數(shù)據(jù)包都將分 別被偽裝成由202.110.123.100和202.110.123.200,從而也就實(shí)現(xiàn)了ip映射。