iptables DNAT详解

文章出处：http://hi.baidu.com/allenspace/blog/item/cbba05f3b41c5dcb0b46e0ef.html/cmtid/4259a264aa35ecfcf636545f

DNAT target

    这个target是用来做目的网络地址转换的，就是重写包的目的IP地址。如果一个包被匹配了，那么和它属于同一个流的所有的包都会被自动转换，然后就可以被路由到正确的主机或网络。DNAT target是非常有用的。比如，你的web服务器在LAN内部，而且没有可以在Internet上使用的真实IP地址，那就可以使用这个target让防火墙把所有到它自己HTTP端口的包转发给LAN内部真正的web服务器。目的地址也可以是一个范围，这样的话，DNAT会为每一个流随机分配一个地址。因此，我们可以用这个target做某种类型的负载平衡。

    注意，DNAT target只能用在nat表的PREOUTING 和 OUTPUT 链中，或者是被这两条链调用的链里。但还要注意的是，包含DNAT target的连不能被除此之外的其他链调用，如POSTROUTING。

    Table 6-16.  DNAT target

    Option –to-destination

    Example iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 –dport 80 -j DNAT –to-destination 192.168.1.1-192.168.1.10

    Explanation指定要写入IP头的地址，这也是包要被转发到的地方。上面的例子就是把所有发往地址15.45.23.67的包都转发到一段LAN使用的私有地址中，即192.168.1.1到192.168.1.10。如前所述，在这种情况下，每个流都会被随机分配一个要转发到的地址，但同一个流总是使用同一个地址。我们也可以只指定一个IP地址作为参数，这样所有包都被转发到同一台机子。我们还可以在地址后指定一个或一个范围的端口。比如：–to-destination 192.168.1.1:80或192.168.1.1:80-100。SNAT的语法和这个target的一样，只是目的不同罢了。要注意，只有先用–protocol指定了TCP或UDP协议，才能使用端口。

    因为DNAT要做很多工作，所以我要再啰嗦一点。我们通过一个例子来大致理解一下它是如何工作的。比如，我想通过Internet连接发布我们的网站，但是HTTP server在我们的内网里，而且我们对外只有一个合法的IP，就是防火墙那个对外的IP——$INET_IP。防火墙还有一个内网的IP——$LAN_IP，HTTP server的IP是%HTTP_IP（当然这是内网的了）。为了完成我们的设想，要做的第一件事就是把下面这个简单的规则加入到nat表的PREROUTING链中：

     iptables -t nat -A PREROUTING –dst$INET_IP -p tcp –dport 80 -j DNAT / –to-destination $HTTP_IP

    现在，所有从Internet来的、到防火墙的80端口去的包都会被转发（或称作被DNAT）到在内网的HTTP服务器上。如果你在Internet上试验一下，一切正常吧。再从内网里试验一下，完全不能用吧。这其实是路由的问题。下面我们来好好分析这个问题。为了容易阅读，我们把在外网上访问我们服务器的那台机子的IP地址记为$EXT_BOX。

    包从地址为$EXT_BOX的机子出发，去往地址为$INET_IP的机子。

    包到达防火墙。

    防火墙DNAT（也就是转发）这个包，而且包会经过很多其他的链检验及处理。

    包离开防火墙向$HTTP_IP前进。

    包到达HTTP服务器，服务器就会通过防火墙给以回应，当然，这要求把防火墙作为HTTP到达$EXT_BOX的网关。一般情况下，防火墙就是HTTP服务器的缺省网关。

    防火墙再对返回包做Un-DNAT（就是照着DNAT的步骤反过来做一遍），这样就好像是防火墙自己回复了那个来自外网的请求包。

    返回包好像没经过这么复杂的处理、没事一样回到$EXT_BOX。

    现在，我们来考虑和HTTP服务器在同一个内网（这里是指所有机子不需要经过路由器而可以直接互相访问的网络，不是那种把服务器和客户机又分在不同子网的情况）的客户访问它时会发生什么。我们假设客户机的IP为$LAN_BOX，其他设置同上。

    包离开$LAN_BOX，去往$INET_IP。

    包到达防火墙。

    包被DNAT，而且还会经过其他的处理。但是包没有经过SNAT的处理，所以包还是使用它自己的源地址，就是$LAN_BOX（译者注：这就是IP传输包的特点，只根据目的地的不同而改变目的地址，但不因传输过程要经过很多路由器而随着路由器改变其源地址，除非你单独进行源地址的改变。其实这一步的处理和对外来包的处理是一样的，只不过内网包的问题就在于此，所以这里交代一下原因）。

    包离开防火墙，到达HTTP服务器。

    HTTP服务器试图回复这个包。它在路由数据库中看到包是来自同一个网络的一台机子，因此它会把回复包直接发送到请求包的源地址（现在是回复包的目的地址），也就是$LAN_BOX。

    回复包到达客户机，但它会很困惑，因为这个包不是来自它访问的那台机子。这样，它就会把这个包扔掉而去等待“真正”的回复包。

    针对这个问题有个简单的解决办法，因为这些包都要进入防火墙，而且它们都去往需要做DNAT才能到达的那个地址，所以我们只要对这些包做SNAT操作即可。比如，我们来考虑上面的例子，如果对那些进入防火墙而且是去往地址为$HTTP_IP、端口为80的包做SNAT操作，那么这些包就好像是从$LAN_IP来的了。这样，HTTP服务器就会把回复包发给防火墙，而防火墙会再对包做Un-DNAT操作，并把包发送到客户机。解决问题的规则如下：

    iptables -t -nat -A POSTROUTING -p tcp –dst$HTTP_IP –dport 80 -j SNAT / –to-source $LAN_IP

    要记住，按运行的顺序POSTROUTING链是所有链中最后一个，因此包到达这条链时，已经被做过DNAT操作了，所以我们在规则里要基于内网的地址$HTTP_IP（包的目的地）来匹配包。

    警告：我们刚才写的这条规则会对日志产生很大影响，这种影响应该说是很不好的，因为来自Internet包在防火墙内先后经过了DNAT和SNAT处理，才能到达HTTP服务器（上面的例子），所以HTTP服务器就认为包是防火墙发来的，而不知道真正的源头是其他的IP。这样， 当它记录服务情况时，所有访问记录的源地址都是防火墙的IP而不是真正的访问源。我们如果想根据这些记录来了解访问情况就不可能了。因此上面提供的“简单办法”并不是一个明智的选择，但它确实可以解决“能够访问”的问题，只是没有考虑到日志而已。

    其他的服务也有类似的问题。比如，你在LAN内建立了SMTP服务器，那你就要设置防火墙以便能转发SMTP的数据流。这样你就创建了一个开放SMTP的中继服务器，随之而来的就是日志的问题了。

    一定要注意，这里所说的问题只是针对没有建立DMZ或类似结构的网络，并且内网的用户访问的是服务器的外网地址而言的。（译者注：因为如果建立的DMZ，或者服务器和客户机又被分在不同的子网里，那就不需要这么麻烦了。因为所有访问的源头都不在服务器所在的网里，所以就没有必要做SNAT去改变包的源地址了，从而记录也就不是问题了。如果内网客户是直接访问服务器的内网地址那就更没事了）

    比较好的解决办法是为你的LAN在内网建立一台单独的DNS服务器（译者注：这样，内网客户使用网站名访问HTTP服务器时，DNS就可以把他解析成内网地址。客户机就可以直接去访问HTTP服务器的内网地址了，从而避免了通过防火墙的操作，而且包的源地址也可以被HTTP服务器的日志使用，也就没有上面说的日志问题了。），或者干脆建立DMZ得了（这是最好的办法，但你要有钱哦，因为用的设备多啊）。

    对上面的例子应该考虑再全面些，现在还有一个问题没解决，就是防火墙自己要访问HTTP服务器时会发生什么，能正常访问吗？你觉得呢:)很可惜，现在的配置还是不行，仔细想想就明白了。我们这里讨论的基础都是假设机子访问的是HTTP服务器的外网地址，那客户机就会看到页面内容，不过这不是它想看到的（它想要的在DNAT上了），如果没有HTTP服务，客户就只能收到错误信息了。前面给出的规则之所以不起作用是因为从防火墙发出的请求包不会经过那两条链。还记得防火墙自己发出的包经过哪些链吧:) 我们要在nat表的OUTPUT链中添加下面的规则：

    iptables -t nat -A OUTPUT –dst$INET_IP -p tcp –dport 80 -j DNAT / –to-destination $HTTP_IP

    有了最后这条规则，一切都正常了。和HTTP服务器不在同一个网的机子能正常访问服务了，和它在一个网内的机子也可以正常访问服务了，防火墙本身也可以正常访问服务了，没有什么问题了。这种心情，套用《大话西游》里的一句话，就是“世界又清静了”。（不要说你不知道什么是《大话西游》）

    我想大家应该能明白这些规则只是说明了数据包是如何恰当的被DNAT和SNAT的。除此之外，在filter表中还需要其他的规则（在FORWARD链里），以允许特定的包也能经过前面写的（在POSTROUTING链和OUTPUT链里的）规则。千万不要忘了，那些包在到达FORWARD链之前已经在PREROUTING链里被DNAT过了，也就是说它们的目的地址已经被改写，在写规则时要注意这一点。

SNAT target

    这个target是用来做源网络地址转换的，就是重写包的源IP地址。当我们有几个机子共享一个Internet连接时，就能用到它了。先在内核里打开ip转发功能，然后再写一个SNAT规则，就可以把所有从本地网络出去的包的源地址改为Internet连接的地址了。如果我们不这样做而是直接转发本地网的包的话，Internet上的机子就不知道往哪儿发送了应答了，因为在本地网里我们一般使用的是IANA组织专门指定的一段地址，它们是不能在Internet上使用的。SNAT target的作用就是让所有从本地网出发的包看起来都是从一台机子发出的，这台机子一般就是防火墙。

    SNAT只能用在nat表的POSTROUTING链里。只要连接的第一个符合条件的包被SNAT了，那么这个连接的其他所有的包都会自动地被SNAT，而且这个规则还会应用于这个连接所在的流的所有数据包。

POSTROUTING链

    我们最后的任务应该是构造网络地址转换，对吧？至少对我来说是的。我们在nat表的POSTROUTING里只加入了一条规则，它会对所有从Internet接口（对我来说，这是eth0）发出的包进行NAT操作。在所有的例子脚本里，都有一些变量，它们要给以正确的配置。选项-t指定要在哪个表里插入规则，这里是nat表。命令-A说明我们要把规则添加到POSTROUTING链末尾。-o$INET_IFACE指定要匹配所有从接口INET_IFACE出去的包，这里我们使用的是eth0。最后，我们把target设置为SNAT。这样，所有匹配此规则的包都会由SNAT target处理之后，它们的源地址就是Internet接口的地址了。不要忘了SNAT可是一定要有IP地址的，用–to-source来设置哦。

PREROUTING链

    顾名思义，PREROUTING链（nat表的）是在路由之前做网络地址转换工作的。然后，包再经过路由，就会被送到filter表的INPUT或FORWARD链。我们在这里讨论这个链的唯一原因是，我们觉得有责任再次指出你不应该在此链中做任何过滤。PREROUTING链只会匹配流的第一个包，也就是说，这个流的所有其他包都不会被此链检查。事实上，在这个脚本中，我们根本没有用到PREROUTING链。如果你想对一些包做DNAT操作，例如，你把web service放在了局域网内，这里就是你放置规则的地方，有关PREROUTING链的详细信息在章节表和链中。

    iptables -L命令还可以查看nat表和mangle表的内容哦

    iptables -L -t nat

    cat /proc/net/ip_conntrack | less

    iptables -F -t nat (清除NAT表)

    iptables –list 查看过滤表

    新的规则存盘

    ./iptables save

    在/proc/net/ip_conntrack文件里也有包的流向

iptables流程图：

http://ssorc.tw/f2blog4f2cont/rewrite.php/read-194.html