1 概述
地址转换(NAT)就是:路由器将私有地址转换为公有地址使数据包能够发到因特网上,同时从因特网上接收数据包时,将公用地址转换为私有地址。 在计算机网络中,网络地址转换(Network Address Translation或简称NAT,也叫做网络掩蔽或者IP掩蔽)是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。
地址转换NAT(Network Address Translation)又称地址代理,它实现了私有网络访问外部网络的功能。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范,路由器是不能这样工作的,但它的确是一个方便并得到了广泛应用的技术。当然,NAT也让主机之间的通信变得复杂,导致通信效率的降低。
本文将结合例子讲解NAT技术的实现和相关原理
2 环境准备
准备三台机器
A: 192.168.32.61 当内网主机,路由指向172.18.50.65
B: 172.18.50.65 192.168.32.65 当路由器,开启路由转发功能:echo 1 >/proc/sys/net/ipv4/ip_forward
C: 172.18.50.73 当外网主机,指向网关172.18.50.65
3 NAT原理介绍和示例
路由器中,实现NAT转换是由表nat实现的
nat表默认centos7有四条链:PREROUTING,INPUT,OUTPUT,POSTROUTING
nat表默认centos6有三条链:PREROUTING,OUTPUT,POSTROUTING
请求报文:修改源/目标IP,由策略定义如何修改
响应报文:修改源/目标IP,根据跟踪机制自动实现
在NAT技术中,主要有分为三个,SNAT,DNAT,PNAT,相关介绍和示例如下
3.1 SNAT:source NAT
SNAT,改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则(mangleostrouting)。
一般仅转换ip,一般情况下不转换端口,但是如果端口刚好已经被使用了,路由器也会一起转换端口,此时路由器上没有记录连接,但是在客户端和服务器上可以看到对应的连接。
让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装
策略一般作用于POSTROUTING, INPUT链
.SNAT:固定IP
--to-source[ipaddr[-ipaddr]][:port[-port]]
--random:如果使用选项--random,则端口映射将被随机化
语法
iptables -t nat -A POSTROUTING -s LocalNET ! -dLocalNet -j SNAT --to-source ExtIP
#ExtIP公网地址
.示例:
#路由器上配置,表示所有内网的地址192.168.32.0/24都通过SNAT转换为地址172.18.50.65
iptables -t nat -APOSTROUTING -s 192.168.32.0/24 -j SNAT --to-source 172.18.50.65
3.2 MASQUERADE:
改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则(mangleostrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。
如果通过ADSL拨号的话,ip是不固定的。所以这个时候需要用网卡名来替换
--to-ports port[-port]
--random:如果使用选项--random,则端口映射将被随机化
iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE
.示例:
#以下语句在路由器上配置,表示将内网的192.168.32.0/24网段的ip进行NAT转换,动作是MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.32.0/24 -j MASQUERADE
3.3 DNAT:destination NAT
改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则(filter:input 或 filter:forward)。
把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP。当外部主机访问服务器时,有路由器通过DNAT做地址转换,从而访问到本地的服务器
策略一般作用于PREROUTING, OUTPUT链,这里服务器上看到的访问的ip不是路由器的公网ip,而是源客户端的ip
语法
iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]
.示例:
在路由器上配置
#以下语句表示当访问172.18.50.65的80端口时,将转到内部服务器:192.168.32.61进行响应。如果http服务器发布的端口是默认的80,那么转发的目的地址不需要跟端口号
iptables -t nat -A PREROUTING -d172.18.50.65 -p tcp --dport 80 -j DNAT --to-destination 192.168.32.61
#以下语句表示当访问172.18.50.65的80端口时,将转到内部服务器:192.168.32.61进行响应。如果http服务器发布的端口是非标准端口,那么转发的目的地址需要跟端口号,如8080
iptables -t nat -APREROUTING -d 172.18.50.65 -p tcp --dport 80 -j DNAT--to-destination 192.168.32.61:8080
测试,直接访问路由器的公网ip
curl http://172.18.50.65
3.3 PNAT: port NAT
实现端口转换,端口和IP都进行修改
PANT是通过动作转发 REDIRECT实现,将封包重新导向到另一个端口,这个功能可以用来实作通透式porxy 或用来保护 web 服务器。
这个也是作用在nat表中。
可用于:PREROUTING,OUTPUT 或自定义链
通过改变目标IP和端口,将接受的包转发至不同地址
示例:
#以下配置在提供httpd服务的机器上配置,表示当有人访问80端口时,就把请求转到81端口
iptables -t nat -A PREROUTING -d 192.168.32.61 -p tcp --dport 80 -j REDIRECT --to-ports 81
