iptables配置——NAT地址轉換
http://hi.baidu.com/gaocher/blog/item/fe66d0ee08940a3727979100.html
iptables nat 原理
同filter表一樣,nat表也有三條缺省的"鏈"(chains):
因爲路由時只檢查數據包的目的ip地址,所以必須在路由之前就進行目的PREROUTING DNAT;
系統先PREROUTING DNAT翻譯——>再過濾(FORWARD)——>最後路由 。
路由和過濾(FORWARD)中match 的目的地址,都是針對被PREROUTING DNAT之後的。
系統先路由——>再過濾(FORWARD)——>最後才進行POSTROUTING SNAT地址翻譯
其match 源地址是翻譯前的。
========================內網訪問外網 -J SNAT============================
-j SNAT
-j SNAT:源網絡地址轉換,SNAT就是重寫包的源IP地址
SNAT 只能用在nat表的POSTROUTING鏈裏
only valid in the nat table, in the POSTROUTING chain .
-j SNAT --to-source ipaddr[-ipaddr][:port-port]
ipaddr:
If no port range is specified, then source ports below 512 will be
mapped to other ports below 512
-j MASQUERADE
用於外網口public地址是DHCP動態獲取的(如ADSL)
MASQUERADE --to-ports port[-port]
only valid if the rule also specifies -p tcp or -p udp.
固定public 地址(外網接口地址)的最基本內訪外SNAT
多個內網段SNAT,就是多條SNAT語句即可
非外網口地址爲NAT用,必須先要綁定到接口上,如eth0 :1 ,eth0 :2
================================外網訪問內網 –J DNAT===========================
DNAT
only valid in PREROUTING
--to-destination ipaddr[-ipaddr][:port-port]
DNAT:目的網絡地址轉換,重寫包的目的IP地址
典型的DNAT的例子
DNAT靜態映射
IPTABLES沒有CISCO那種static map
DNAT用於內部SERVER的load-balance(即CISCO的rotery)
DNAT 帶端口映射(改變SERVER的端口)
一個FTP SERVER從內部192.168.100.125:21映射到216.94.87.37:2121的例子
通常外網DNAT訪問內網SERVER,內網SERV ER回包的源地址是經過另一個單獨的SNAT進程的。而不屬於DNAT STATIC進程的一部分
。
這樣對於P-t-P的網絡應用 ,就必須另設一個和DNAT相適應的SNAT。
對於穿過NAT,被NAT映射改變端口號的應用 ,也必須用一個單獨的SNAT對回包的端口進行映射
不這樣做的話,FTP SERVER會返回21到外網的客戶機,外網用戶發出一個to 2121的FTP request,收到一個from 21的,會不認
上面的好象不必,做過實驗了:
DNAT照樣要做RULE,DNAT只是翻譯,仍要做ACCEPT。(而且注意是FORWARD,不是INPUT)
DNAT的FORWARD RULE總是出錯,原來:DNAT RULE是在PREROUTING語句之後執行的,即DNAT RULE要match翻譯過來的新接口號
一開始按翻譯前的原始接口做RULE,發覺9000和9001都通過,但2022總通不過
後來發現原來9000和9001都是端口不變的翻譯,只有2022是由2022到22的翻譯
。
而FORWARD是在PREROUTING執行後執行的,此時2022已經被翻譯成22了,當然不匹配2022那個rule了
改正:
==============================NAT troubleshooting===================================
-i ,-o 參數在NAT中的用途
對於PREROUTING鏈,只能用-i, 通常是外網口
對於POSTROUTING和OUTPUT,只能用-o ,通常也是外網口
linux iptables通常都用外網口地址做NAT public地址
用非外網口的同網段地址做DNAT public地址,失敗
失敗原因是,非外網口地址爲DNAT用,必須要綁定到接口上,如eth0 :1 ,eth0 :2
連續public 地址SNAT (也要先綁定到子接口上eth0:x )
一段連續的地址,這樣可以實現負載平衡。每個流會被隨機分配一個IP。
不存在所謂的PAT。理由:沒有PAT相關的RFC
PAT是CISCO自己的概念
Linux實現的就是完整的NAT和NAPT(可以進行端口替換,參見RFC3022)
但是端口並沒有bind到本地協議棧上。所以不受本地端口資源65535的限制。
源端口必須>1024
這樣包的源端口就被限制在1024-32000了
端口轉換限定
只轉換1024以上低於30000的源端口
對於”內網訪問內網SERVER在外網的地址”的特殊處理
o 網內客戶機10.4.3.119發起一個訪問請求給映射後的地址124.126.86.138(10.4.3.150)
o 防火牆收到這個向124.126.86.138請求後根據策略表匹配發現是一個對內部服務器10.4.3.150映射,防火牆會通過純路由的方式將數據包轉發給服務器 10.4.3.150
o 服務器10.4.3.150收到請求後,發現源地址爲10.4.3.119的客戶機發來了一個請求,並且這臺主機與自己在同一個網段內,於是直接將回應包SYN+ACK發送給主機10.4.3.119(就不再經過FW)
o 10.4.3.119收到這個包後會感覺很奇怪,因爲它從來就沒有給10.4.3.150發送過連接請求報文(他只給124.126.86.138)發送過,所以就會將回應報文丟棄
解決:增加一個朝向內部網10.4.3.150訪問的POSTROUTING SNAT
上例的另一種情況:禁止server在內網訪問他自己在外網的公有地址
iptables -t nat -A PREROUTING -d 219.142.217.161 -j DNAT --to 192.168.1.24
iptables -t nat -A PREROUTING -d 210.83.2.206 -s ! 192.168.1.24 -p tcp --dport 21 -j DNAT --to 192.168.1.24
-s !內網SERVER地址 DNAT --to 內網server地址
同filter表一樣,nat表也有三條缺省的"鏈"(chains):
- PREROUTING:目的DNAT規則
因爲路由時只檢查數據包的目的ip地址,所以必須在路由之前就進行目的PREROUTING DNAT;
系統先PREROUTING DNAT翻譯——>再過濾(FORWARD)——>最後路由 。
路由和過濾(FORWARD)中match 的目的地址,都是針對被PREROUTING DNAT之後的。
- POSTROUTING:源SNAT規則
系統先路由——>再過濾(FORWARD)——>最後才進行POSTROUTING SNAT地址翻譯
其match 源地址是翻譯前的。
- OUTPUT:定義對本地產生的數據包的目的NAT規則
========================內網訪問外網 -J SNAT============================
-j SNAT
-j SNAT:源網絡地址轉換,SNAT就是重寫包的源IP地址
SNAT 只能用在nat表的POSTROUTING鏈裏
only valid in the nat table, in the POSTROUTING chain .
-j SNAT --to-source ipaddr[-ipaddr][:port-port]
ipaddr:
- a single new source IP address
- range of IP addresses
- or you can add several --to-source options. a simple round-robin takes place between these adresses.
If no port range is specified, then source ports below 512 will be
mapped to other ports below 512
-j MASQUERADE
用於外網口public地址是DHCP動態獲取的(如ADSL)
| iptables -t nat -A POSTROUTING –o eth1 –s 192.168.1.0/24 –j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE |
MASQUERADE --to-ports port[-port]
only valid if the rule also specifies -p tcp or -p udp.
固定public 地址(外網接口地址)的最基本內訪外SNAT
| iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 你的eth0地址 |
多個內網段SNAT,就是多條SNAT語句即可
| iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE |
非外網口地址爲NAT用,必須先要綁定到接口上,如eth0 :1 ,eth0 :2
================================外網訪問內網 –J DNAT===========================
DNAT
only valid in PREROUTING
--to-destination ipaddr[-ipaddr][:port-port]
DNAT:目的網絡地址轉換,重寫包的目的IP地址
典型的DNAT的例子
| 外部接口ip:210.83.2.206 內部接口ip:192.168.1.1 ftp服務器 : ip 192.168.1.3 web服務器 : ip 192.168.1.4 |
| iptables -t nat -A PREROUTING -d 210.83.2.206 -p tcp --dport 21
-j DNAT --to 192.168.1.3 iptables -t nat -A PREROUTING -d 210.83.2.206 -p tcp --dport 80 -j DNAT --to 192.168.1.4 |
DNAT靜態映射
IPTABLES沒有CISCO那種static map
DNAT用於內部SERVER的load-balance(即CISCO的rotery)
| iptables –t nat –A PREROUTING –d 219.142.217.161 –j DNAT --to-destination 192.168.1.24-192.168.1.25 |
DNAT 帶端口映射(改變SERVER的端口)
一個FTP SERVER從內部192.168.100.125:21映射到216.94.87.37:2121的例子
| iptables -t nat -A PREROUTING -p tcp -d 216.94.87.37 --dport 2121 -j DNAT --to-destination 192.168.100.125:21 |
這樣對於P-t-P的網絡應用 ,就必須另設一個和DNAT相適應的SNAT。
對於穿過NAT,被NAT映射改變端口號的應用 ,也必須用一個單獨的SNAT對回包的端口進行映射
| iptables -t nat -A POSTROUTING -p tcp -s 192.168.100.125 --sport 21 -j SNAT --to-source 216.94.87.37:2121 |
上面的好象不必,做過實驗了:
| /sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT --to 124.126.86.137 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 2022 -j DNAT --to-destination 10.4.3.150:22 |
DNAT照樣要做RULE,DNAT只是翻譯,仍要做ACCEPT。(而且注意是FORWARD,不是INPUT)
| /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9000 -j ACCEPT /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9001 -j ACCEPT /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 22 -j ACCEPT ##########NAT CHAIN############### /sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT --to 124.126.86.137 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 2022 -j DNAT --to-destination 10.4.3.150:22 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9001 -j DNAT --to-destination 10.4.3.150:9001 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9000 -j DNAT --to-destination 10.4.3.150:9000 |
DNAT的FORWARD RULE總是出錯,原來:DNAT RULE是在PREROUTING語句之後執行的,即DNAT RULE要match翻譯過來的新接口號
一開始按翻譯前的原始接口做RULE,發覺9000和9001都通過,但2022總通不過
| /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9000 -j ACCEPT /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9001 -j ACCEPT /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 2022 -j ACCEPT ##########NAT CHAIN############### /sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT --to 124.126.86.137 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 2022 -j DNAT --to-destination 10.4.3.150:22 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9001 -j DNAT --to-destination 10.4.3.150:9001 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9000 -j DNAT --to-destination 10.4.3.150:9000 |
而FORWARD是在PREROUTING執行後執行的,此時2022已經被翻譯成22了,當然不匹配2022那個rule了
改正:
| /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9000 -j ACCEPT /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9001 -j ACCEPT /sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 22 -j ACCEPT |
==============================NAT troubleshooting===================================
-i ,-o 參數在NAT中的用途
對於PREROUTING鏈,只能用-i, 通常是外網口
對於POSTROUTING和OUTPUT,只能用-o ,通常也是外網口
linux iptables通常都用外網口地址做NAT public地址
用非外網口的同網段地址做DNAT public地址,失敗
失敗原因是,非外網口地址爲DNAT用,必須要綁定到接口上,如eth0 :1 ,eth0 :2
連續public 地址SNAT (也要先綁定到子接口上eth0:x )
| iptables –t nat –A POSTROUTING –s 192.168.1.0 –j SNAT --to-source 219.142.217.161- 219.142.217.166 |
不存在所謂的PAT。理由:沒有PAT相關的RFC
PAT是CISCO自己的概念
Linux實現的就是完整的NAT和NAPT(可以進行端口替換,參見RFC3022)
但是端口並沒有bind到本地協議棧上。所以不受本地端口資源65535的限制。
源端口必須>1024
| iptables –t nat –A POSTROUTING -p tcp,udp –s 192.168.1.0 –j SNAT --to-source 219.142.217.161:1024-32000 |
端口轉換限定
| iptables –A POSTROUTING –o eth1 –s 192.168.1.0/24 –j MASQUERADE --to-ports 1024-30000 |
對於”內網訪問內網SERVER在外網的地址”的特殊處理
o 網內客戶機10.4.3.119發起一個訪問請求給映射後的地址124.126.86.138(10.4.3.150)
o 防火牆收到這個向124.126.86.138請求後根據策略表匹配發現是一個對內部服務器10.4.3.150映射,防火牆會通過純路由的方式將數據包轉發給服務器 10.4.3.150
o 服務器10.4.3.150收到請求後,發現源地址爲10.4.3.119的客戶機發來了一個請求,並且這臺主機與自己在同一個網段內,於是直接將回應包SYN+ACK發送給主機10.4.3.119(就不再經過FW)
o 10.4.3.119收到這個包後會感覺很奇怪,因爲它從來就沒有給10.4.3.150發送過連接請求報文(他只給124.126.86.138)發送過,所以就會將回應報文丟棄
解決:增加一個朝向內部網10.4.3.150訪問的POSTROUTING SNAT
| /sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT --to 124.126.86.137 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 2022 -j DNAT --to-destination 10.4.3.150:22 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9001 -j DNAT --to-destination 10.4.3.150:9001 /sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9000 -j DNAT --to-destination 10.4.3.150:9000 |
| /sbin/iptables -t nat -A POSTROUTING -d 10.4.3.150
-j SNAT --to 10.4.0.198 把發往內部server ip 10.4.3.150的包的源地址改成FW內網口地址10.4.0.198 這樣就能從內部訪問內部SERVER的外部地址 |
上例的另一種情況:禁止server在內網訪問他自己在外網的公有地址
iptables -t nat -A PREROUTING -d 219.142.217.161 -j DNAT --to 192.168.1.24
iptables -t nat -A PREROUTING -d 210.83.2.206 -s ! 192.168.1.24 -p tcp --dport 21 -j DNAT --to 192.168.1.24
-s !內網SERVER地址 DNAT --to 內網server地址