如何用iptables實現NAT（轉）

轉自 http://www.51cto.com/html/2005/0813/1388.htm

http://netsecurity.51cto.com  2005-08-13 14:45       我要評論(2)

• 摘要：本文主要介紹如何使用iptbales實現linux2.4下的強大的NAT功能。關於iptables的詳細語法請參考「用iptales實現包過慮型防火牆」一文。須要申明的是，本文絕對不是 NAT-HOWTO的簡單重複或是中文版，在整個的敘述過程當中，做者都在試圖用本身的語言來表達本身的理解，本身的思想。
• 標籤：IP  NAT  I  s

本文主要介紹如何使用iptbales實現linux2.4下的強大的NAT功能。關於iptables的詳細語法請參考「用iptales實現包過慮型防火牆」一文。須要申明的是，本文絕對不是 NAT-HOWTO的簡單重複或是中文版，在整個的敘述過程當中，做者都在試圖用本身的語言來表達本身的理解，本身的思想。

1、概述

1. 什麼是NAT

在傳統的標準的TCP/IP通訊過程當中，全部的路由器僅僅是充當一箇中間人的角色，也就是一般所說的存儲轉發，路由器並不會對轉發的數據包進行修改，更爲確切的說，除了將源MAC地址換成本身的MAC地址之外，路由器不會對轉發的數據包作任何修改。NAT(Network Address Translation網絡地址翻譯)偏偏是出於某種特殊須要而對數據包的源ip地址、目的ip地址、源端口、目的端口進行改寫的操做。

2. 爲何要進行NAT

咱們來看看再什麼狀況下咱們須要作NAT。

假設有一家ISP提供園區Internet接入服務，爲了方便管理，該ISP分配給園區用戶的IP地址都是僞IP，可是部分用戶要求創建本身的WWW服務器對外發布信息，這時候咱們就能夠經過NAT來提供這種服務了。咱們能夠在防火牆的外部網卡上綁定多個合法IP地址，而後經過NAT技術使發給其中某一個IP地址的包轉發至內部某一用戶的WWW服務器上，而後再將該內部WWW服務器響應包假裝成該合法IP發出的包。

再好比使用撥號上網的網吧，由於只有一個合法的IP地址，必須採用某種手段讓其餘機器也能夠上網，一般是採用代理服務器的方式，可是代理服務器，尤爲是應用層代理服務器，只能支持有限的協議，若是過了一段時間後又有新的服務出來，則只能等待代理服務器支持該新應用的升級版本。若是採用NAT來解決這個問題，

由於是在應用層如下進行處理，NAT不但能夠得到很高的訪問速度，並且能夠無縫的支持任何新的服務或應用。

還有一個方面的應用就是重定向，也就是當接收到一個包後，不是轉發這個包，而是將其重定向到系統上的某一個應用程序。最多見的應用就是和squid配合使用成爲透明代理，在對http流量進行緩存的同時，能夠提供對Internet的無縫訪問。

3. NAT的類型

在linux2.4的NAT-HOWTO中，做者從原理的角度將NAT分紅了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉發數據包的源地址，所謂DNAT就是改變轉發數據包的目的地址。 

2、原理

在「用iptales實現包過慮型防火牆」一文中咱們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每一個表由若干"鏈"(chains)組成，而每條鏈中能夠有一條或數條規則(rule)組成。而且系統缺省的表是"filter"。可是在使用NAT的時候，咱們所使用的表再也不是"filter"，而是"nat"表，因此咱們必須使用"-t nat"選項來顯式地指明這一點。由於系統缺省的表是"filter"，因此在使用filter功能時，咱們沒有必要顯式的指明"-t filter"。

同filter表同樣，nat表也有三條缺省的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是:

PREROUTING:能夠在這裏定義進行目的NAT的規則，由於路由器進行路由時只檢查數據包的目的ip地址，因此爲了使數據包得以正確路由，咱們必須在路由以前就進行目的NAT;

POSTROUTING:能夠在這裏定義進行源NAT的規則，系統在決定了數據包的路由之後在執行該鏈中的規則。

OUTPUT:定義對本地產生的數據包的目的NAT規則。

3、操做語法

如前所述，在使用iptables的NAT功能時，咱們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。而後使用如下的選項:

1. 對規則的操做

加入(append) 一個新規則到一個鏈 (-A)的最後。

在鏈內某個位置插入(insert) 一個新規則(-I)，一般是插在最前面。

在鏈內某個位置替換(replace) 一條規則 (-R)。

在鏈內某個位置刪除(delete) 一條規則 (-D)。

刪除(delete) 鏈內第一條規則 (-D)。

2. 指定源地址和目的地址

經過--source/--src/-s來指定源地址(這裏的/表示或者的意思，下同)，經過--destination/--dst/-s來指定目的地址。可使用如下四中方法來指定ip地址:

a. 使用完整的域名，如「www.linuxaid.com.cn」;

b. 使用ip地址，如「192.168.1.1」;

c. 用x.x.x.x/x.x.x.x指定一個網絡地址，如「192.168.1.0/255.255.255.0」;

d. 用x.x.x.x/x指定一個網絡地址，如「192.168.1.0/24」這裏的24代表了子網掩碼的有效位數，這是 UNIX環境中一般使用的表示方法。

缺省的子網掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。

3. 指定網絡接口

可使用--in-interface/-i或--out-interface/-o來指定網絡接口。從NAT的原理能夠看出，對於PREROUTING鏈，咱們只能用-i指定進來的網絡接口;而對於POSTROUTING和OUTPUT咱們只能用-o指定出去的網絡接口。

4. 指定協議及端口

能夠經過--protocol/-p選項來指定協議，若是是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明端口。

4、準備工做

1. 編譯內核，編譯時選中如下選項，具體可參看「用iptales實現包過慮型防火牆」一文:

Full NAT

MASQUERADE target support

REDIRECT target support

2. 要使用NAT表時，必須首先載入相關模塊:

modprobe ip_tables

modprobe ip_nat_ftp

iptable_nat 模塊會在運行時自動載入。

5、使用實例

1. 源NAT(SNAT)

好比，更改全部來自192.168.1.0/24的數據包的源ip地址爲1.2.3.4:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4

這裏須要注意的是，系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。

有一種SNAT的特殊狀況是ip欺騙，也就是所謂的Masquerading，一般建議在使用撥號上網的時候使用，或者說在合法ip地址不固定的狀況下使用。好比

# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

能夠看出，這時候咱們沒有必要顯式的指定源ip地址等信息。

2. 目的SNAT(DNAT)

好比，更改全部來自192.168.1.0/24的數據包的目的ip地址爲1.2.3.4:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4

這裏須要注意的是，系統是先進行DNAT，而後才進行路由及過慮等操做。

有一種DNAT的特殊狀況是重定向，也就是所謂的Redirection，這時候就至關於將符合條件的數據包的目的ip地址改成數據包進入系統時的網絡接口的ip地址。一般是在與squid配置造成透明代理時使用，假設squid的監聽端口是3128，我 們能夠經過如下語句來未來自192.168.1.0/24，目的端口爲80的數據包重定向到squid監聽

端口:

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80

-j REDIRECT --to-port 3128

6、綜合例子

1. 使用撥號帶動局域網上網

小型企業、網吧等多使用撥號網絡上網，一般可能使用代理，可是考慮到成本、對協議的支持等因素，建議使用ip欺騙方式帶動區域網上網。

成功升級內核後安裝iptables，而後執行如下腳本:

#載入相關模塊

modprobe ip_tables

modprobe ip_nat_ftp

#進行ip假裝

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

2. ip映射

假設有一家ISP提供園區Internet接入服務，爲了方便管理，該ISP分配給園區用戶的IP地址都是僞IP，可是部分用戶要求創建本身的WWW服務器對外發布信息。咱們能夠再防火牆的外部網卡上綁定多個合法IP地址，而後經過ip映射使發給其中某一 個IP地址的包轉發至內部某一用戶的WWW服務器上，而後再將該內部WWW服務器響應包假裝成該合法IP發出的包。

咱們假設如下情景:

該ISP分配給A單位www服務器的ip爲:

僞ip:192.168.1.100

真實ip:202.110.123.100

該ISP分配給B單位www服務器的ip爲:

僞ip:192.168.1.200

真實ip:202.110.123.200

linux防火牆的ip地址分別爲:

內網接口eth1:192.168.1.1

外網接口eth0:202.110.123.1

而後咱們將分配給A、B單位的真實ip綁定到防火牆的外網接口，以root權限執行如下命令:

ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0

ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0

成功升級內核後安裝iptables，而後執行如下腳本:

#載入相關模塊

modprobe ip_tables

modprobe ip_nat_ftp

首先，對防火牆接收到的目的ip爲202.110.123.100和202.110.123.200的全部數據包進行目的NAT(DNAT):

iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100

iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200

其次，對防火牆接收到的源ip地址爲192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT):

iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100

iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200

這樣，全部目的ip爲202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而全部來自192.168.1.100和192.168.1.200的數據包都將分 別被假裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映射。