Netfilter学习之NAT类型动态配置（五）全锥型、限制型锥形、端口限制型锥型、对称型NAT的实现思路

  本节中，我们根据上节的分析，从理论上分析不同NAT的实现思路。对NAT不了解的可以看Netfilter学习之NAT类型动态配置（二）。

1. 端口限制型NAT

  Port Restricted NAT是Netfilter中自带的NAT转化规则，即MASQUERADE。此种情况下，需要检测外部tuple和目标tuple四个变量，均相同才可以成功访问内部tuple。

2. 限制型NAT

  限制型锥形，即目标IP的任意端口均可通过访问指定的外部tuple来访问内部tuple。由于nf_nat_core内部保存的tuple表示由src来作为哈希索引的，因此我们这里并不适用：我们这里需要检查的是分配的IP，Port和外部进来的端口三个变量。

3.全锥型NAT

  全锥型是最容易联通的NAT，因为只需要内部ip在NAT表中有申明过，则外部任意IP，端口均可以透过指定的IP、端口访问。在2的基础上，我们去掉对端口限制的检查即可实现。

4.对称型NAT

  MASQUERADE中，iptables命令行输入–random则为对称型NAT，在第二讲的代码中有提到。这里主要是由于添加的标记位使得端口不是和端口限制型锥形一样取自内部tuple的端口不变，而是经过了改变（具体在下面几将中会分析源码说明）。由此，即使目标tuple的访问也会由于找不到端口而无法访问内部tuple。

5.总结

  由上所述，我们需要做的有以下工作以实现不同类型的NAT切换。
  首先，我们需要在内核中新建一个链表保存六元组tuple：原地址tuple，外部tuple，目标tuple。然后根据2，3的不同要求以不同的条件来允许外部访问内部。
  其次，对于对称型，我们需要借鉴、修改masquerade的–random属性，增加端口的选择，支持一些新的变化，比如端口跳变或者端口变化幅度等等。
  另外，我们需要研究一下masquerade的端口改变具体是如何实现的，为此，我们还需要更输入的阅读一些源码才可以理解。相关源码在nf_nat_proto_common.c中，如下所示

void nf_nat_l4proto_unique_tuple(const struct nf_nat_l3proto *l3proto,
				 struct nf_conntrack_tuple *tuple,
				 const struct nf_nat_range *range,
				 enum nf_nat_manip_type maniptype,
				 const struct nf_conn *ct,
				 u16 *rover)
{
	unsigned int range_size, min, i;
	__be16 *portptr;
	u_int16_t off;

	if (maniptype == NF_NAT_MANIP_SRC)
		portptr = &tuple->src.u.all;
	else
		portptr = &tuple->dst.u.all;

	/* If no range specified...没有指定范围，则进入下面选择一个可用的端口 */
	if (!(range->flags & NF_NAT_RANGE_PROTO_SPECIFIED)) {
		/* If it's dst rewrite, can't change port */
		if (maniptype == NF_NAT_MANIP_DST)
			return;

       /* 具体端口随机规则如下
        * 首先判断portptr，据此进行计算min和range_size
        * 然后根据类型选择偏移量
        * 最后调用nf_nat_used_tuple判断是否可用
        */
		if (ntohs(*portptr) < 1024) {
			/* Loose convention: >> 512 is credential passing */
			if (ntohs(*portptr) < 512) {
				min = 1;
				range_size = 511 - min + 1;
			} else {
				min = 600;
				range_size = 1023 - min + 1;
			}
		} else {
			min = 1024;
			range_size = 65535 - 1024 + 1;
		}
	} else {
		min = ntohs(range->min_proto.all);
		range_size = ntohs(range->max_proto.all) - min + 1;
	}

	if (range->flags & NF_NAT_RANGE_PROTO_RANDOM) {
		off = l3proto->secure_port(tuple, maniptype == NF_NAT_MANIP_SRC
						  ? tuple->dst.u.all
						  : tuple->src.u.all);
	} else if (range->flags & NF_NAT_RANGE_PROTO_RANDOM_FULLY) {
		off = prandom_u32();
	} else {
		off = *rover;
	}

	for (i = 0; ; ++off) {
		*portptr = htons(min + off % range_size);
		if (++i != range_size && nf_nat_used_tuple(tuple, ct))
			continue;
		if (!(range->flags & NF_NAT_RANGE_PROTO_RANDOM_ALL))
			*rover = off;
		return;
	}
}
EXPORT_SYMBOL_GPL(nf_nat_l4proto_unique_tuple);