Netfilter学习之NAT类型动态配置（一）iptables和Netfilter简介

        通过一段时间的学习，我发现目前尚未有公开的技术实现NAPT的动态配置，仅仅通过iptables实现一些固定的配置无法满足动态配置的需求。因此，本系列博客目的在于通过对Netfilter和Iptables的学习，通过内核编程实现Full Cone， Restricted Cone, Port Restricted Cone和Symmetric NAPT的配置。

    介绍iptables和Netfilter的文献资料相当的多，随便一搜就可以搜到一堆详细的资料。在这里我仅仅简单介绍下iptables和Netfilter，重点在于介绍二者的关系以及如何运用。

    首先，我们要明白iptables位于用户空间，而Netfilter属于Linux内核，是目前常用的网络框架。在此由上图说明iptables和Netfilter的位置。iptables和Netfilter的关系其实更像是一种为了方便人们使用Netfilter而设计的一套方便的在用户空间调用的API接口。通过getlongopt()设计了一整套API，人们使用的时候只需要在命令行输入相应的iptables命令，即可转化为一套通信“语言”实现用户空间和内核的通信从而实现我们需要的配置，即操纵Netfilter。

    也就是说，iptbles只是一种官方设计的方便我们使用Netfilter的用户空间命令行，而不是必须使用的。如果有必要，我们完全可以自己定义一套自己的API命令行。比如NiuBiIptables  BALABALA。。。。但是，iptables还是相当好用的，功能很全面而且支持扩展。因此不是迫不得已完全没有这个必要。我们实现NAT的动态配置也仅仅只是做了iptables的扩展，在Netfilter中实现新的功能，在iptables设计新的功能的扩展API方便调用。在后来自己写着玩的时候做了个类似于tc的扰流工具，又花了些时间做了基于Netfilter的内核网络流浪探测工具（实现功能类似于Iperf）。这些由于不方便使用Iptables我就自己只做了一些简单的工具，而不是使用Iptabes。这些属于后话，不是本文的核心。

    因此，为实现NAT类型动态配置，我们需要做以下工作：

（1）扩展iptables命令，添加新的命令操纵NAT类型配置

（2）内核编程，添加NAT类型配置模块

    在这里，安利一波Source Insight，看源码非常好用。iptables和Netfilter的代码位于不同的位置。本文的配置最终在Openwrt上实现，代码来源于Openwrt的源码，其中iptables位于，Netfilter位于。当然在Ubuntu等Linux系统中也是肯定有的，其中Ubuntu14.04kylin的位置分别在。下文中对于Iptables和Netfilter的源码分析会再给出地址。

    为了方便理解，先举个例子说明整个iptables到Netfilter的流程：

    比如说，我们配置一条端口限制型锥型的规则，让NAT变成端口限制型锥型。

    首先，我们在命令行或脚本输入

    iptables -t nat -A POSTROUTING -j  MASQUERADE

    这条命令中，-t nat指定了配置规则在NAT表，-A POSTROUTING指定了添加（ADD）在POSTROUTING点，-j MASQUERADE表明添加的规则为端口限制型。这些命令具体用法可以查看相应资料，不是本文重点。

    输入命令后，该命令被iptables中的getlongopt分析并调用相应API，之后通过内核和用户空间通信将已有规则拷贝过来，再根据我们配置的新规则进行修改，然后将全部规则回传给内核空间。内核空间中Netfilter收到规则即激活对应代码。MASQUERADE的对应为ipt_MASQUERADE，该程序调用的API在对应的nf_nat_MASQUERADE中。由此实现了整个流程。

    具体的代码分析在第二讲中继续进行分析。