SNAT策略及应用

 

SNATSource Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址。

 

1.1SNAT策略概述

随着Internet网络在全世界范围内的快速发展,Ipv4协议支持的可用IP地址资源逐渐

变得山穷水尽,资源匮乏使得许多企业难以申请更多的公网IP地址,或者只能承受一个或者少数几个公网IP地址的费用。而与此同时,大部分企业都面临着将局域网内的主机接入Internet的需求。

     通过在网关中应用SNAT策略,可以解决局域网共享上网的问题。下面以一个小型的企业网络为例,Linux网关服务器通过两块网卡eth0eth1分别连接Internet和局域网,如图所示,分析局域网主机访问Internet的情况。

SNAT_iptables

1、   只开启路由转发,未做地址转换的情况

正常情况下,作为网关的Linux服务器必须打开路由转发,才能沟通多个网络。未使用地址转换策略时,从局域网PC机访问Internet的数据包经过网关转发后其源IP地址保持不变,当Internet中的主机收到这样的请求数据包后,响应数据包将无法正确返回(私有地址不能再Internet中正常路由),从而导致访问失败。

 

2、开启路由转发,并设置SNAT转发的情况

     如果在网关服务器中正确应用SNAT策略,数据包转发情况就不一样了,当局域网PC机访问Internet的数据包到达网关服务器时,会先进行路由选择,若发现该数据包需要从外网接口(如:eth0)向外网转发,则将其源IP地址(如:192.168.1.234)修改为网关外网接口地址(如:218.29.30.31),然后才发送给目标主机(如:58.63.236.45)。相当于从网关服务器的公网IP地址提交数据访问请求,目标主机也可以正确返回响应数据包,最终实现局域网PC机共享同一个公网IP地址接入Internet

     在上述SNAT转换地址的过程中,网关服务器会根据之前建立的SNAT映射,将响应数据包正确返回给局域网中的源主机。因此只要连接的第一个包被SNAT处理了,那么这个连接及对应数据流的其他包也会自动地被进行SNAT处理。另一方面,Internet中的服务器并不知道局域网PC机的实际IP地址,中间的转换完全由网关主机完成,一定程度上也起到了保护内部网络的作用。

 

1.2SNAT策略的应用

     SNAT的典型应用是为局域网共享上网提供接入策略,处理数据包的切入时机是在路由选择之后(POSTROUTING)进行。关键操作在于将局域网外发数据包的源IP地址(私有地址)修改为网关服务器的外网接口IP地址(公有地址)。

     SNAT策略只能用在nat表的POSTROUTING链,使用iptables命令编写SNAT策略时,需要结合“—to-source ip地址”选项来制定修改后的源IP地址(例如:-j SNAT –to-source 218.29.30.31)。下面通过俩个实例来说明SNAT策略的具体用法。

1、   共享固定IP地址上网

案例环境如图所示,需求描述如下:


SNAT_snat_02

1)   Linux网关服务器通过两块网卡eth0eth1分别连接Internet和局域网,其中eth0IP地址为218.29.30.31eth1IP地址为192.168.1.1

2)   所有局域网PC机的默认网关为192.168.1.1,且已经设置了正确的DNS服务器。

3)   要求192.168.1.0/24网段的PC机能够通过共享方式正常访问Internet

 

实验步骤:

1)打开网关的路由转发

[root@localhost ~]# vi /etc/sysctl.conf

net.ipv4.ip_forward = 0          //将此行配置中的0改为1

[root@localhost ~]# sysctl –p   //读取修改后的配置

         在测试过程中,若只希望临时开启路由转发,也可以执行以下操作。

[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

 

             

 

         或者

[root@localhost ~]# sysctl -w net.ipv4.ip_forward=1

net.ipv4.ip_forward = 1

        

2)正确设置SNAT策略。

通过分析得知,需要针对局域网PC机访问Internet的数据包采取SNAT策略,将源地址更改为网关的公网IP地址,参考一下操作在网关中设置防火墙规则。若要保持SNAT策略长期有效,应将相关命令写入到rc.local配置文件,以便开机后自动设置。

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 218.29.30.31

 

         3)测试SNAT共享接入结果。

     上述操作完成以后,使用局域网中的PC机就可以正常访问Internet中的网站了。对于被访问的网站服务器来说,将会以为是网关主机218.29.30.31在访问(可观察Web日志获知),而并不知道实际上是企业内网的PC机在访问。

 

2、   共享动态IP地址上网

在某些情况下,网关的外网IP地址可能并不是固定的,例如使用ADSL宽带接入时。那么在这种网络环境下,应该如何设置SNAT策略呢?针对这种需求,iptables提供了一个名为MASQUERADE(伪装)的数据包控制类型,MASQUERADE相当于SNAT的一个特例,同样用来修改(伪装)数据包源IP地址,只不过它能够自动获取外网接口的IP地址,而无需使用“—to-source“指定固定的IP地址。

参照上一个SNAT案例,若要使用MASQUERADE伪装策略,只需去掉SNAT策略中的“—to-source IP地址“,然后改用“-j MASQUERADE”指定数据包控制类型。对于ADSL宽带连接来说,连接名称同城为ppp0ppp1等。

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

     当然,如果网关使用固定的公网IP地址,最好还是选择SNAT策略而不是MASQUERADE策略,以减少不必要的系统开销。