Linux 2.4 NAT (网络地址转换) HOWTO(二)
3. 两种类型的 NAT
我将 NAT 分为两种不同的类型�s Source NAT (SNAT) 与 Destination NAT (DNAT)
Source NAT 就是您将改变第一个封包的来源地址�s例如�o您为传入的联机做 caching 的动作。Source NAT 永远会在封包传出网线之前就做好 post-routing 的动作。封包伪装(Masquerading)就是一个 SNAT 特例。
Destination NAT 就是您将改变第一个封包的目的地地址�s例如您要为传出的联机做 caching 的动作。Destination NAT 永远会在封包从网线进入之后就马上做好 pre-routing 的动作。Port forwarding�p负载分担�p以及透明代理�o都属于 DNAT。
4. 从 2.0 到 2.2 核心的快速转变
非常抱歉�o假如您仍然忙于从 2.0(ipfwadm) 到 2.2(ipchains) 的转型的话。不过�o这也是个喜� 参半的消息啦。
首先�o您可以轻易的一如往昔地使用 ipchains 和 ipfwadm。要这样做的话�o您需要将最新的 netfilter 套件中的 `ipchains.o' 或 `ipfwadm.o' 核心模块加载。它们是相互排斥的(您应已获警告了)�o同时也不能和其它 netfilter 模块同时整合在一起。
一旦其中一个模块被加载�o您就可以如常使用 ipchains 和 ipfwadm 了�o但也有如下一些变化啦�s
- 用 ipchains -M -S�o或是 ipfwadm -M -s 作伪装逾时将不再有效。因为逾时设定已经移至新的 NAT 牯c中�o所以这里也就没什么所谓了。
- 在伪装列表中显示的 ini seq�pdelte�p和 previous delta 字段�o将永远为零。
- 同时归零(zeroing)和列示记数器(counter)的 `-Z -L' 已无作用�s记数器将不能再归零了。
Hacker 们仍要留意之处�s
- 您现在可以捆绑 61000-65095 之间的埠口�o而无需理会您是否使用封包伪装技术。在过去�o封包伪装程序会把此值域内的所有东西捕获进来�o所以其它程序就不可用之了。
- 至于(尚未成文之) getsockname 破解�o在过去�o透明代理程序可以找出那些不再有效联机之真正目的地。
- 至于(尚未成文之) bind-to-foreign-address 破解�o同样尚未实作�r这在过去用以完善透明代理的构想。
4.1 救命啊�u我只想要封包伪装而已�u
没错�o这也是大多数朋友之需。如果您用 PPP 拨接获得的动态 IP (如果您不了解的话�o那您应该是了)�o您或许只想单纯告诉您的主机让所有来自您内部网络的封包�o看起来如来自该 PPP 拨接主机一样。
# Load the NAT module (this pulls in all the others).
modprobe iptable_nat
# In the NAT table (-t nat), Append a rule (-A) after routing
# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to
# MASQUERADE the connection (-j MASQUERADE).
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
注�s您这里并没做任何封包过滤�s如要的话�o请参考 Packet Filtering HOWTO�s将 NAT 和封包过滤合并起来就是了。
4.2 那 ipmasqadm 怎么了�t
这个其实取决于使用者而已�o所以我并不是很为向后兼容问题而担心。您可以单纯使用 iptables -t nat 做 port forwarding 的动作。例如�o在 Linux 2.2 您或许已经这样做了�s
# Linux 2.2
# Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's port 80
ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80
而现在�o如此则可�s
# Linux 2.4
# Append a rule pre-routing (-A PREROUTING) to the NAT table (-t nat) that
# TCP packets (-p tcp) going to 1.2.3.4 (-d 1.2.3.4) port 8080 (--dport 8080)
# have their destination mapped (-j DNAT) to 192.168.1.1, port 80
# (--to 192.168.1.1:80).
iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080 \
-j DNAT --to 192.168.1.1:80
假如您想让这条规则同时修改本机联机的话(如�o即使在 NAT 主机本身�o要连接 1.2.3.4 的 8080 埠口之 telnet 联机�o会帮您连接至 192.168.1.1 的 80 埠口)�o您就可以插入相同的规则至 OUTPUT 链中(它只适用于本机传出的封包)�s
# Linux 2.4
iptables -A OUTPUT -t nat -p tcp -d 1.2.3.4 --dport 8080 \
-j DNAT --to 192.168.1.1:80