Linux下的NAT服务器架设实战.docx

Linux下的NAT服务器架设实战（上） 2007年06月17日 来源：IT168 作者：华江 收藏本文NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。NAT工作原理NAT的基本工作原理是，当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。如图1所示，NAT网关有2个网络端口，其中公共网络端口的IP地址是统一分配的公共 IP，为；私有网络端口的IP地址是保留地址，为。私有网中的主机向公共网中的主机00发送了1个IP包（Des=00,Src=）。当IP包经过NAT网关时，NAT会将IP包的源IP转换为NAT的公共IP并转发到公共网，此时IP包（Des=00，Src= ）中已经不含任何私有网IP的信息。由于IP包的源IP已经被转换成NAT的公共IP，响应的IP包（Des= ,Src=00）将被发送到NAT。这时，NAT会将IP包的目的IP转换成私有网中主机的IP，然后将IP包（Des=，Src=00）转发到私有网。对于通信双方而言，这种地址的转换过程是完全透明的。图 1 NAT工作原理图1.NAT的实现方法NAT 功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设 置NAT功能，就可以实现对内部网络的屏蔽。，其他如Linux中的IP伪装（IP Masquerade），FreeBSD中的NATD或Windows98的Sygate软件和Windows 2000 、2003都包含了这一功能。Linux下的NAT服务器架设实战（上） 2007年06月17日 来源：IT168 作者：华江 收藏本文NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。2.NAT分类（1）源NAT（Source NAT，SNAT）：修改数据包的源地址。源NAT改变第一个数据包的来源地址，它永远会在数据包发送到网络之前完成，数据包伪装就是一具SNAT的例子。（2）目的NAT（Destination NAT，DNAT）：修改数据包的目的地址。Destination NAT刚好与SNAT相反，它是改变第一个数据懈的目的地地址，如平衡负载、端口转发和透明代理就是属于DNAT。二、Linux下NAT的工作原理1. netfilter/iptables 系统是如何工作的？netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在我们所谓的 链（chain）中。虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它实际上由两个组件 netfilter和 iptables 组成。 netfilter 组件也称为 内核空间（kernelspace），是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具，也称为 用户空间（userspace），它使插入、修改和除去信息包过滤表中的规则变得容易。通过使用用户空间，可以构建自己的定制规则，这些规则存储在内核空间的信息包过滤表中。这些规则具有 目标，它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配，那么使用目标 ACCEPT 允许该信息包通过。还可以使用目标 DROP 或 REJECT 来阻塞并杀死信息包。对于可对信息包执行的其它操作，还有许多其它目标。图2 用图形说明了这个信息包过滤过程。Linux下的NAT服务器架设实战（上） 2007年06月17日 来源：IT168 作者：华江 收藏本文NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。图 2 信息包过滤过程2. 基于netfilter/iptables的NAT如何工作Linux下的NAT 是基于netfilter/iptables的。表1 是 netfilter/iptables 内核空间默认的表和链说明：filter 表用来过滤数据包，我们可以在任何时候匹配包并过滤它们。Mangle不经常使用还在开发当中。我们下面主要介绍Nat表来实现NAT功能。（1）用户使用iptables命令在用户空间设置NAT规则，通过使用用户空间iptables命令，可以构建用户自己的定制NAT规则。所有规则存储在内核空间的nat表中。根据规则所处理的信息包类型，将规则分组在链中。要做SNAT的信息包被添加到POSTROUTING链中。要做DNAT的信息包被添加到PREROUTING链中。直接从本地出站的信息包的规则被添加到OUTPUT 链中。 （2）内核空间接管NAT工作 图 3是 数据包穿越nat表的流程图图 3 数据包穿越nat表的流程图做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表，一个一个的被NAT，而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链改变本地产生的包的目的地址。图4 是数据包穿越整个netfilter/iptables的流程图。Linux下的NAT服务器架设实战（上） 2007年06月17日 来源：IT168 作者：华江 收藏本文NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。图4 数据包穿越整个netfilter/iptables的流程图 图5 是netfilter钩子函数在NAT模式（module）下的使用情况示意图。图5 netfilter钩子函数在NAT模式（module）下的使用情况示意图（3）NAT工作步骤：lDNAT：若包是被送往PREROUTING链的，并且匹配了规则， 则执行DNAT或REDIRECT目标。为了使数据包得到正确路由， 必须在路由之前进行DNAT。l路由：内核检查信息包的头信息，尤其是信息包的目的地。l处理本地进程产生的包：对nat表OUTPUT链中的规则实施规则检查， 对匹配的包执行目标动作。lSNAT：若包是被送往POSTROUTING链的，并且匹配了规则， 则执行SNAT或MASQUERADE目标。 系统在决定了数据包的路由之后才执行该链中的规则。3. 与NAT相关的iptables命令格式（1）命令格式：iptables -t nat CMD chain rule-matcher -j target-t nat：表示操作nat表CMD：为操作命令chain：为链名rule-matcher：为规则匹配器target：为目标动作说明：iptables的语法非常复杂，要查看该工具的完整语法，应该查看其手册页。iptables 中的指令，均需严格区分大小写。（2）指定操作命令：-A：在所选链的链尾加入一条规则；-D：从所选链中删除一条匹配的规则；-R：在所选链中替换一条匹配的规则；-I：在链内某个位置插入一条新规则；-L：列出指定链的所有规则。（3）规则匹配器指定规则匹配器匹配源地址使用-source或-src或-s参数匹配目的地址使用-destination或-dst或-s参数匹配网络接口对于PREROUTING链，只能用-i参数匹配进来的网络接口对于POSTROUTING链和OUTPUT链，只能用-o参数匹配出去的网络接口匹配协议及端口使用-p选项来匹配协议对于udp和tcp协议，还可以用-sport和-dport选项来分别匹配源端口和目的端口。（4）动作目标指定与NAT有关的目标动作：用于设置IP伪装：-j MASQUERADE用于设置端口转发：-j REDIRECT -to-port port-numberLinux网络地址转换（NAT）也可以使用 iptables 进行配置。从根本上来说，NAT 是一种使用连接将来自本地子网地址的封装报文在发送（在 OUTPUT 链上）之前作为外部 WAN 地址进行跟踪的方法。执行 NAT 的网关/路由器需要记住哪台本地机器连接到了哪台远程机器上，当报文从远程机器上返回时，它需要对这种地址转换反向进行解析。尽管从过滤器的角度来看，我们可以简单地认为 NAT 并不存在。我们指定的规则应该使用 “真正的” 本地地址，而不必关心 NAT 如何封装它之后将其呈现给外部世界。总结：本文介绍了NAT原理以及NAT在Linux应用环境下的实现，下篇文章笔者将结合具体应用情况构建Linux下的NAT服务器，敬请关注!Linux下的NAT服务器架设实战（下） 2007年06月17日 来源：IT168 作者：华江 收藏本文前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过“私有地址” 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。一、Linux 下NAT用途1.连接到Internet，但却没有足够的公用Internet地址分配给内部主机。中小企业内部机器数量较少，可以通过NAT方式接入INTERNET，这时，仅仅需要一个合法的IP地址。2.接到一个需要重新分配地址的ISP。企业合并，两个使用同一IP地址网段的企业合并，可以使用NAT而不用重新规划IP地址，保留了以前的投资。但不可避免的是，采用NAT可能使NAT路由器出现IP报文转发效率的损失。3.支持多重服务器和负载均衡。通过给一个服务器集群一个逻辑IP地址（00），在路由 器上配置NAT可以做到负载分担。常见的例子是TCP load balancing，将外部网络对00的访问顺序定位到不同的服务器。二、NAT应用举例1带动局域网上网（1）网络结构网络地址翻译和IP伪装都可以实现多台主机共享一个Internet连接，而这个局域网可以是Linux和Windows系统组成的多系统局域网。假设现在我们有一台机器有两个网卡，其中eth0为“公共”网卡，eth1为“私有”网卡。换句话说，eth0被分配了一个静态的，可路由的IP地址，而eth1则被分配给了一个私有的、不能路由的IP，也就是说该IP是属于该局域网子网的。网络拓扑结构如图1 。假设局域网中的客户机A eth0网络接口的IP地址：;NAT路由器连接局域网的eth0网络接口的IP地址：54；NAT路由器连接internet的eth1网络接口的IP地址：；Linux下的NAT服务器架设实战（下） 2007年06月17日 来源：IT168 作者：华江 收藏本文前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过“私有地址” 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。Internet上的一个WWW 服务器的IP地址：；（2）客户机使用NAT路由器访问互联网的过程首先将客户机A的默认网关IP地址设置为：54，以root用户为例，执行下面的命令：# route add default gw 54如果用户想更改网关，编辑/etc/sysconfig/network-scripts/ifcfg-eth0文件，将对应的网关设置修改之后，执行下面的命令即可：#/etc/init.d/network restart然后客户机A访问互联网必须通过NAT路由器，过程如下：l客户机ANAT路由器。客户机A将访问WWW服务器的请求封包发送到NAT路由器。lSNAT。此书请求封包在NAT路由器上实施SNAT，此时源IP地址转化为，同时 NAT 路由器并且会记忆这个联机的封包是由哪一个 ( ) 客户机端传送来的。lNAT路由器WWW服务器。经过SNAT转化的数据封包通过互联网发送到WWW服务器。lWWW服务器NAT路由器。WWW服务器将回应封包发送到NAT路由器。lUN-SNAT。NAT 服务器会去查询原本记录的路由信息，并将目标 IP 由的公共 IP 改回原来的 ；lNAT路由器客户机A。NAT路由器将通过UN-SNAT转化的数据封包发送到客户机A。以上过程如图2 所示。图2客户机使用NAT路由器访问互联网的过程以后所有的客户机访问WWW服务器的数据封包都要经过上述步骤。（3）配置SNAT带动简单的局域网使用互联网资源脚本以RHEL 4.0为例，在安装NAT服务器前，必须确定系统上已安装iptables程序，如果不知是否已经安装iptables，可以使用以下的方法来判断：# rpm-qa iptablesLinux下的NAT服务器架设实战（下） 2007年06月17日 来源：IT168 作者：华江 收藏本文前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过“私有地址” 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。如果尚未安装iptables，可以在第一张安装光盘中的/Red Hat/RPMS目录下，找到名为“iptables-1.2.7a-2.i386.rpm”的安装程序，然后按照以下的方法进行安装：rpm ivh iptables-1.2.7a-2.i386.rpm 为了使开机时能自动运行iptablas，可以在终端机窗口中输入“ntsysv”指令，然后在出现的画面中，利用上下方向键将光标移到菜单中的“iptables”项目（同时确定ipchains选项没有被选中），然后按空格键以选择，最后利用Tab键将光标移到“确定”按钮并按Enter键即完成设置。其他具体操作如下，#是说明中文部分是说明：#touch /etc/rc.d/snat.sh “首先在etcrcd目录下生成空的脚本文件”#chmod u+x /etc/rc.d/snat.sh“添加可执行权限”#echo /etc/rc.d/filter-firewall/etc/rc.d/rc.local “使脚本能在系统启动时自动执行”#vi /etc/rc.d/ snat.sh#!binbash#开启内核转发echo“1” procsysnetipv4ip-forward#定义外部接口变量，若使用PPP连接，将eth1换成ppp0INET_IFACE= “eth1INET_IP= “XXXXXX.XXX.XXX“#定义局域网相关变量LAN_IFACE= “eth1LAN_IP= “192 168 1254”LAN_IP_RANGE= “192 168 1024”IPT= “sbiniotables”#理内核所支持的模块清单sbindepmod -a#载所用模块sbinmodprobe ip_tablessbinmodprobe iptables_natsbinmodprobe ip_nat_ftpsbinmodprobe ip_LOGLinux下的NAT服务器架设实战（下） 2007年06月17日 来源：IT168 作者：华江 收藏本文前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过“私有地址” 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。清除已设规则，还原到不设防火墙的状态$IPT -p INPUT ACCEPT$IPT -p FORWARD ACCEPT$IPT -p OUTPUT ACCEPT$IPT -t nat -p PREROUTING ACCEPT$IPT -t nat -p POSTROUTING ACCEPT$IPT -t nat -p OUTPUT ACCEPTfor TABLE in filter nat mangle;do$IPT -t $TABLE -F清除预设表filter中所有规则链中的规则$IPT -t $TABLE -X清除预设表filter使用者自定义链中规则done#根据接口决定使用SNAT或是IP伪装if $INET_IFACE = ppp0 ; then$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADEelse$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT -to $INET_IPi（4）NAT和代理服务器访问互联网的对比我们知道Linux支持（Squid 或者Apache等）代理服务器和NAT 2种常见的Internet共享连接方式。NAT和Proxy方式两者各有所长，具体的优缺点参见附表所示。其中，NAT更加易于使用，软件的兼容性及运行速度更好; 而Proxy则在可配置性和安全性方面更为强大。比较而言，NAT可以说是一种“透明”网络访问方式，它只重写数据包中很少的一部分，由此保证了访问的高速度。此外，使用NAT方式几乎无需设置客户端应用程序，且可应用在几乎所有常用的操作系统，例如Windows、Mac OS、UNIX和Linux等。也正是由于NAT的众多特性，使其成为了用户普遍选择的Internet连接共享方式。表1是NAT与代理特性比较2. 在局域网对外发布网络服务(1)互联网客户通过NAT路由器访问局域网内服务器的过程。Linux下的NAT服务器架设实战（下） 2007年06月17日 来源：IT168 作者：华江 收藏本文前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过“私有地址” 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。假设局域网中WWW 服务器的eth0接口的IP地址为1921681100，NAT路由器的局域网接口ethl的IP地址为1921681254，与互联网连接的接口的IP地址是2192436910，互联网上客户机B的IP地址为111111111111。（2）互联网上客户机B要与隐藏在NAT后的www 服务器建立连接需要经过NAT，过程如下：l客户机BNAT路由器。客户机B将访问WWW服务器的请求封包发送到NAT路由器。客户机使用的拨号上网获得的IP地址：111111111111。（也就是说客户机B并不知道111111111111没有运行WWW服务器，互联网客户对这个访问是透明的。）lDNAT。此请求封包在NAT路由器上实施DNAT，此时将封包地址重新定向到IP地址0。lNAT路由器WWW服务器。经过DNAT转化的数据封包通过互联网发送到WWW服务器。lWWW服务器NAT路由器。WWW服务器将回应封包发送到DNAT路由器。lUN-DNAT。NAT 服务器将回收的封包的源地址修改为eth1接口的 IP地址： 111111111111 ；lNAT路由器客户机 B。NAT路由器将通过UN-DNAT转化的数据封包发送到客户机B。以上过程如图3 所示。图3 互联网上客户通过NAT路由器访问局域网内服务器的过程以后所有的客户机访问WWW服务器的数据封包都要经过上述步骤。（3）在局域网对外发布服务的脚本作如下假设：在局域网中有2台WWW 服务器，实现简单的负载均衡。IP地址分别是：192168110、162168111。另外在局域网中有一台FTP服务器，IP地址Linux下的NAT服务器架设实战（下） 2007年06月17日 来源：IT168 作者：华江 收藏本文前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过“私有地址” 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。为：192168113#touch /etc/rc.d/snat.sh “首先在etcrcd目录下生成空的脚本文件”#chmod u+x /etc/rc.d/dnat.sh“添加可执行权限”#echo /etc/rc.d/filter-firewall/etc/rc.d/rc.local “使脚本能在系统启动时自动执行”#vi /etc/rc.d/ dnat.sh#!binbash#开启内核转发echo“1” procsysnetipv4ip-forward#定义外部接口变量INET_IFACE=eth1INET_IP=14#定义局域网相关变量LAN_IFACE=eth1LAN_IP=4LAN_IP_RANGE=/24#IPT=/sbin/iptables# 定义与内部服务器相关的变量WWW_IP_RANGE=0-2FTP_IP=4#各种服务的端口HTTP=80HTTPS=443FTP=21FTP_DATE=20#加载内核模块/sbin/depmod -a/sbin/modprobe ip_tables/sbin/modprobe iptable_nat/sbin/modprobe ip_nat_ftp/sbin/modprobe ipt_LOG#清除已设规则,还原到不设防火墙的状态$IPT -P INPUT ACCEPT$IPT -P FORWARD ACCEPT$IPT -P OUTPUT ACCEPT$IPT -t nat -P PREROUTING ACCEPT$IPT -t nat -P POSTROUTING ACCEPT$IPT -t nat -P OUTPUT ACCEPTfor TABLE in filter nat mangle ; do$IPT -t $TABLE -F$IPT -t $TABLE -Xdone# 规则设置 #所有已经初始化了的回应数据包&允许DNS服务&允许主机的FTP服务(POST模式)#$IPT -A INPUT -p tcp -j REJECT -reject-with tcp-reset$IPT -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPTfor DNS in $(grep n /etc/resolv.conf|awk print $2 ); do$IPT -A INPUT -p udp -s $DNS -sport domain -j ACCEPTdone$IPT -A INPUT -p tcp -m multiport -dport 21,20 -j ACCEPT$IPT -A INPUT -p tcp -j REJECT -reject-with tcp-reset#允许访问开放的服务$IPT -A INPUT -p tcp -sport $HTTP -j ACCEPT$IPT -A INPUT -p tcp -sport $HTTPS -j ACCEPT$IPT -A INPUT -p tcp -sport $FTP -j ACCEPT#拒绝所有(除了lo接口)新建立的或无效的连接请求并记入LOG$IPT -N LOGDENY$IPT -A LOGDENY -j LOG -log-prefix iptables:$IPT -A LOGDENY -j DROP$IPT -A INPUT -i ! lo -m state -state NEW,INVALID -j LOGDENY#根据接口决定使用SNAT或是IP伪装if $INET_IFACE = ppp0 ; then$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADEelse$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT -to $INET_IPfi# 对防火墙的服务请求重定向到局域网内部$IPT -t nat -A PREROUTING -p tcp -d $INET_IP -dport $HTTP -j DNAT -to $WWW_IP_RANGE:$HTTP$IPT -t nat -A PREROUTING -p tcp -d $INET_IP -dport $HTTPS -j DNAT -to $WWW_IP_RANGE:$HTTPS$IPT -t nat -A PREROUTING -p tcp -d $INET_IP -dport $FTP -j DNAT -to $FTP_IP:$FTP#END#Linux下的NAT服务器架设实战（下） 2007年06月17日 来源：IT168 作者：华江 收藏本文前文介绍了NAT原理以及NAT在Linux应用环境下的实现，下面笔者将结合具体应用情况构建Linux下的NAT服务器。使用NAT网络地址转换技术可以通过“私有地址” 来扩充IP地址空间，解决目前IPV4地址资源不足的问题。文中介绍了Linux 下NAT的工作原理与实现SNAT和DNAT两种方式。总结：NAT的优点和缺陷NAT方案在一定程度上减缓了IP地址耗尽的周期和路由表规模越来越大的问题，提供了一种非常方便的方式来解决私有网络与Internet的互连问题。NAT的优点：l终端用户可以透明地访问Internet。l利用NAT可以做到对外部网络隐藏内部网络的体系结构，从外部网络无法知道究竟是哪台主机发送或接收数据，从另一个角度，它也是一个缺点。l为已建成的私有网络方便地建立与Internet的连接，而不必去修改每台主机的地址