iptables DNAT vs xdp(ebpf)DNAT

场景描述

image.png
  • 如上图,一共有三台服务器,从client访问nat服务器上的8889端口,实际上通过NAT服务器里的逻辑
    做DNAT之后,转发到了server服务器,最后访问server上的15006端口。
  • NAT服务器有很多种方法可以做到DNAT, 其中可以通过iptables规则配置,也可以通过XDP ebpf程序来做到DNAT

iptables DNAT

阅读以下流程需要先了解iptables是如何使用的

配置规则

1.清除iptables中的其他干扰记录

$ iptables -F
$ iptables -t nat -F
$ iptables -X

2.配置iptables的DNAT规则

$ iptables -t nat -A PREROUTING -i eth0 -d 192.xxx.xx.114 -p tcp --dport 8889 -j DNAT --to 192.xxx.xx.113:15006

该条规则的意思是,在PREROUTING链中加一条规则,作用于eth0网卡,劫持IP为192.xxx.xx.114,端口号为8889的的流量,重定向到192.xxx.xx.113的15006端口

3.配置SNAT规则

$ iptables -t nat -A POSTROUTING -d 192.xxx.xx.113 -p tcp --dport 15006 -j SNAT --to-source 192.xxx.xx.114
  • 该条规则的作用是,为了让client跟server能正常连接
  • 因为clent是直接与NAT服务器,所以client并不认识server服务,需要把来自server(192.xxx.xx.113:15006端口)的流量,源地址改成nat(192.xxx.xx.114), 这样client就能认识并且正常通信了

具体可以参考文章
how-to-do-the-port-forwarding-from-one-ip-to-another-ip-in-same-network

xdp DNAT

阅读以下流程需要先了解一下什么是XDP,以及什么是ebpf/bpf

源码

https://github.com/Netronome/bpf-samples/blob/master/nat/nat_kern.c

编译代码

$make

$ ls
demo  Makefile  nat  nat_common.h  nat_kern.c  nat_kern.ll  nat_kern.o  nat_user.c  README.rst

会发现生成了nat_kern.o文件以及nat可执行程序

规则配置

$ ./nat -i eth0 -S load nat_prog&
$ ./nat mapfill nat_prog key_daddr 192.xxx.xx.114 key_dport 8889 val_saddr 192.xxx.xx.114 val_daddr 192.xxx.xx.113 val_dport 15006 val_dmac 52:xx:xx:xx:xx:3c aggressive_reap 0

你可能感兴趣的:(iptables DNAT vs xdp(ebpf)DNAT)