防火墙 之 NAT技术

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙 之 NAT技术相关的知识,希望对你有一定的参考价值。

 1  概述


地址转换(NAT)就是:路由器将私有地址转换为公有地址使数据包能够发到因特网上,同时从因特网上接收数据包时,将公用地址转换为私有地址。 在计算机网络中,网络地址转换(Network Address Translation或简称NAT,也叫做网络掩蔽或者IP掩蔽)是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。

地址转换NAT(Network Address Translation)又称地址代理,它实现了私有网络访问外部网络的功能。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范,路由器是不能这样工作的,但它的确是一个方便并得到了广泛应用的技术。当然,NAT也让主机之间的通信变得复杂,导致通信效率的降低。

本文将结合例子讲解NAT技术的实现和相关原理


2  环境准备


准备三台机器

A:  192.168.32.61 当内网主机,路由指向172.18.50.65

B:  172.18.50.65  192.168.32.65 当路由器,开启路由转发功能:echo 1 >/proc/sys/net/ipv4/ip_forward

C:  172.18.50.73 当外网主机,指向网关172.18.50.65


3  NAT原理介绍和示例


路由器中,实现NAT转换是由表nat实现的

nat表默认centos7有四条链:PREROUTINGINPUTOUTPUTPOSTROUTING

nat表默认centos6有三条链:PREROUTINGOUTPUTPOSTROUTING

请求报文:修改源/目标IP,由策略定义如何修改

响应报文:修改源/目标IP,根据跟踪机制自动实现

 在NAT技术中,主要有分为三个,SNAT,DNAT,PNAT,相关介绍和示例如下

3.1  SNAT:source NAT 

SNAT,改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则(mangleostrouting)。

一般仅转换ip,一般情况下不转换端口,但是如果端口刚好已经被使用了,路由器也会一起转换端口,此时路由器上没有记录连接,但是在客户端和服务器上可以看到对应的连接。

让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装

策略一般作用于POSTROUTING, INPUT链

.SNAT:固定IP

--to-source[ipaddr[-ipaddr]][:port[-port]]

--random:如果使用选项--random,则端口映射将被随机化

 语法

iptables  -t nat -A POSTROUTING -s LocalNET ! -dLocalNet -j SNAT --to-source ExtIP

#ExtIP公网地址

.示例:

#路由器上配置,表示所有内网的地址192.168.32.0/24都通过SNAT转换为地址172.18.50.65

iptables -t nat -APOSTROUTING -s 192.168.32.0/24 -j SNAT --to-source 172.18.50.65

3.2  MASQUERADE

 改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则(mangleostrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。

如果通过ADSL拨号的话,ip是不固定的。所以这个时候需要用网卡名来替换

--to-ports port[-port]

--random:如果使用选项--random,则端口映射将被随机化

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

.示例:

#以下语句在路由器上配置,表示将内网的192.168.32.0/24网段的ip进行NAT转换,动作是MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.32.0/24 -j MASQUERADE

3.3  DNAT:destination NAT 

 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则(filter:input 或 filter:forward)。

把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP。当外部主机访问服务器时,有路由器通过DNAT做地址转换,从而访问到本地的服务器

策略一般作用于PREROUTING, OUTPUT链,这里服务器上看到的访问的ip不是路由器的公网ip,而是源客户端的ip

语法

iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp  --dport  PORT -j DNAT  --to-destination  InterSeverIP[:PORT]

.示例:

在路由器上配置

#以下语句表示当访问172.18.50.6580端口时,将转到内部服务器:192.168.32.61进行响应。如果http服务器发布的端口是默认的80,那么转发的目的地址不需要跟端口号

iptables -t nat -A PREROUTING -d172.18.50.65 -p tcp --dport 80 -j DNAT --to-destination 192.168.32.61

#以下语句表示当访问172.18.50.6580端口时,将转到内部服务器:192.168.32.61进行响应。如果http服务器发布的端口是非标准端口,那么转发的目的地址需要跟端口号,如8080

iptables -t nat -APREROUTING   -d 172.18.50.65 -p tcp --dport 80 -j DNAT--to-destination 192.168.32.61:8080 

测试,直接访问路由器的公网ip

curl  http://172.18.50.65

3.3  PNAT: port NAT

实现端口转换,端口和IP都进行修改

PANT是通过动作转发  REDIRECT实现,将封包重新导向到另一个端口,这个功能可以用来实作通透式porxy 或用来保护 web 服务器。

这个也是作用在nat表中。 

可用于:PREROUTINGOUTPUT 或自定义链

通过改变目标IP和端口,将接受的包转发至不同地址

示例:

#以下配置在提供httpd服务的机器上配置,表示当有人访问80端口时,就把请求转到81端口

iptables -t nat  -A PREROUTING -d 192.168.32.61  -p tcp --dport 80  -j REDIRECT --to-ports 81


本文出自 “阳光运维” 博客,请务必保留此出处http://ghbsunny.blog.51cto.com/7759574/1974556

以上是关于防火墙 之 NAT技术的主要内容,如果未能解决你的问题,请参考以下文章

防火墙基础之安全策略和NAT(Easy IP)

4-Openwrt ipv6之NAT6

Linux之iptables(网络防火墙及NAT)

防火墙NAT策略

浅谈华为防火墙NAT策略

防火墙与NAT服务器系列之 1安装xinetd并且查看其管理服务