iptables配置——NAT地址轉換

阿新 • • 發佈：2019-02-04

iptables nat 原理
同filter表一樣，nat表也有三條預設的"鏈"(chains)：

PREROUTING:目的DNAT規則

把從外來的訪問重定向到其他的機子上，比如內部SERVER，或者DMZ。
因為路由時只檢查資料包的目的ip地址，所以必須在路由之前就進行目的PREROUTING DNAT;
系統先PREROUTING DNAT翻譯——>再過濾（FORWARD）——>最後路由。
路由和過濾（FORWARD)中match 的目的地址，都是針對被PREROUTING DNAT之後的。

POSTROUTING:源SNAT規則

在路由以後在執行該鏈中的規則。

系統先路由——>再過濾（FORWARD)——>最後才進行POSTROUTING SNAT地址翻譯
其match 源地址是翻譯前的。

OUTPUT:定義對本地產生的資料包的目的NAT規則

========================內網訪問外網 -J SNAT============================

-j SNAT
-j SNAT：源網路地址轉換，SNAT就是重寫包的源IP地址
SNAT 只能用在nat表的POSTROUTING鏈裡
only valid in the nat table, in the POSTROUTING chain.

-j SNAT --to-source ipaddr[-ipaddr][:port-port]

ipaddr:

a single new source IP address
range of IP addresses
or you can add several --to-source options. a simple round-robin takes place between these adresses.

port range(only valid if the rule also specifies -p tcp or -p udp)
If no port range is specified, then source ports below

512 will be
mapped to other ports below 512

-j MASQUERADE
用於外網口public地址是DHCP動態獲取的（如ADSL）

iptables -t nat -A POSTROUTING –o eth1 –s 192.168.1.0/24 –j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

MASQUERADE --to-ports port[-port]
only valid if the rule also specifies -p tcp or -p udp.

固定public 地址（外網介面地址）的最基本內訪外SNAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 你的eth0地址

多個內網段SNAT,就是多條SNAT語句即可

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

非外網口地址為NAT用，必須先要繫結到介面上，如eth0 :1,eth0 :2

================================外網訪問內網 –J DNAT===========================

DNAT
only valid in PREROUTING
--to-destination ipaddr[-ipaddr][:port-port]
DNAT：目的網路地址轉換，重寫包的目的IP地址

典型的DNAT的例子

外部介面ip：210.83.2.206
內部介面ip：192.168.1.1

ftp伺服器　：　ip 192.168.1.3
web伺服器　：　ip 192.168.1.4

iptables -t nat -A PREROUTING -d 210.83.2.206 -p tcp --dport 21 -j DNAT --to 192.168.1.3
iptables -t nat -A PREROUTING -d 210.83.2.206 -p tcp --dport 80 -j DNAT --to 192.168.1.4

DNAT靜態對映
IPTABLES沒有CISCO那種static map

DNAT用於內部SERVER的load-balance（即CISCO的rotery）

iptables –t nat –A PREROUTING –d 219.142.217.161 –j DNAT --to-destination 192.168.1.24-192.168.1.25

DNAT 帶埠對映(改變SERVER的埠)
一個FTP SERVER從內部192.168.100.125:21對映到216.94.87.37:2121的例子

iptables -t nat -A PREROUTING -p tcp -d 216.94.87.37 --dport 2121 -j DNAT --to-destination 192.168.100.125:21

通常外網DNAT訪問內網SERVER，內網SERV ER回包的源地址是經過另一個單獨的SNAT程序的。而不屬於DNAT STATIC程序的一部分。
這樣對於P-t-P的網路應用，就必須另設一個和DNAT相適應的SNAT。
對於穿過NAT，被NAT對映改變埠號的應用，也必須用一個單獨的SNAT對回包的埠進行對映

iptables -t nat -A POSTROUTING -p tcp -s 192.168.100.125 --sport 21 -j SNAT --to-source 216.94.87.37:2121

不這樣做的話，FTP SERVER會返回21到外網的客戶機，外網使用者發出一個to 2121的FTP request,收到一個from 21的，會不認
上面的好象不必，做過實驗了：

DNAT照樣要做RULE，DNAT只是翻譯，仍要做ACCEPT。（而且注意是FORWARD，不是INPUT）

/sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9000 -j ACCEPT
/sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9001 -j ACCEPT
/sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 22 -j ACCEPT

##########NAT CHAIN###############
/sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT --to 124.126.86.137
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 2022 -j DNAT --to-destination 10.4.3.150:22
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9001 -j DNAT --to-destination 10.4.3.150:9001
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9000 -j DNAT --to-destination 10.4.3.150:9000

DNAT的FORWARD RULE總是出錯，原來：DNAT RULE是在PREROUTING語句之後執行的，即DNAT RULE要match翻譯過來的新介面號
一開始按翻譯前的原始介面做RULE，發覺9000和9001都通過，但2022總通不過

/sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9000 -j ACCEPT
/sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 9001 -j ACCEPT
/sbin/iptables -A FORWARD -i $WAN_INT -m state --state NEW -p tcp --dport 2022 -j ACCEPT

##########NAT CHAIN###############
/sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT --to 124.126.86.137
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 2022 -j DNAT --to-destination 10.4.3.150:22
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9001 -j DNAT --to-destination 10.4.3.150:9001
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9000 -j DNAT --to-destination 10.4.3.150:9000

後來發現原來9000和9001都是埠不變的翻譯，只有2022是由2022到22的翻譯。
而FORWARD是在PREROUTING執行後執行的，此時2022已經被翻譯成22了，當然不匹配2022那個rule了
改正：

==============================NAT troubleshooting===================================

-i ，-o 引數在NAT中的用途
對於PREROUTING鏈，只能用-i,通常是外網口
對於POSTROUTING和OUTPUT，只能用-o，通常也是外網口

linux iptables通常都用外網口地址做NAT public地址
用非外網口的同網段地址做DNAT public地址，失敗
失敗原因是，非外網口地址為DNAT用，必須要繫結到介面上，如eth0 :1,eth0 :2

連續public 地址SNAT （也要先繫結到子介面上eth0:x）

iptables –t nat –A POSTROUTING –s 192.168.1.0 –j SNAT --to-source 219.142.217.161-219.142.217.166

一段連續的地址，這樣可以實現負載平衡。每個流會被隨機分配一個IP。

不存在所謂的PAT。理由：沒有PAT相關的RFC
PAT是CISCO自己的概念

Linux實現的就是完整的NAT和NAPT（可以進行埠替換，參見RFC3022）
但是埠並沒有bind到本地協議棧上。所以不受本地埠資源65535的限制。

源埠必須>1024

iptables –t nat –A POSTROUTING -p tcp,udp –s 192.168.1.0 –j SNAT --to-source 219.142.217.161:1024-32000

這樣包的源埠就被限制在1024-32000了

埠轉換限定

iptables –A POSTROUTING –o eth1 –s 192.168.1.0/24 –j MASQUERADE --to-ports 1024-30000

只轉換1024以上低於30000的源埠

   對於”內網訪問內網SERVER在外網的地址”的特殊處理
o  網內客戶機10.4.3.119發起一個訪問請求給對映後的地址124.126.86.138（10.4.3.150）
o  防火牆收到這個向124.126.86.138請求後根據策略表匹配發現是一個對內部伺服器10.4.3.150對映，防火牆會通過純路由的方式將資料包轉發給伺服器 10.4.3.150
o  伺服器10.4.3.150收到請求後，發現源地址為10.4.3.119的客戶機發來了一個請求，並且這臺主機與自己在同一個網段內，於是直接將回應包SYN+ACK傳送給主機10.4.3.119（就不再經過FW）
o 10.4.3.119收到這個包後會感覺很奇怪，因為它從來就沒有給10.4.3.150傳送過連線請求報文（他只給124.126.86.138)傳送過，所以就會將回應報文丟棄
解決：增加一個朝向內部網10.4.3.150訪問的POSTROUTING SNAT

/sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT --to 124.126.86.137
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 2022 -j DNAT --to-destination 10.4.3.150:22
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9001 -j DNAT --to-destination 10.4.3.150:9001
/sbin/iptables -t nat -A PREROUTING -d 124.126.86.138 -p tcp --dport 9000 -j DNAT --to-destination 10.4.3.150:9000

/sbin/iptables -t nat -A POSTROUTING -d 10.4.3.150 -j SNAT --to 10.4.0.198
把發往內部server ip 10.4.3.150的包的源地址改成FW內網口地址10.4.0.198
這樣就能從內部訪問內部SERVER的外部地址

上例的另一種情況：禁止server在內網訪問他自己在外網的公有地址
iptables -t nat -A PREROUTING -d 219.142.217.161 -j DNAT --to 192.168.1.24
iptables -t nat -A PREROUTING -d 210.83.2.206 -s ! 192.168.1.24 -p tcp --dport 21 -j DNAT --to 192.168.1.24
-s !內網SERVER地址 DNAT --to 內網server地址

iptables配置——NAT地址轉換

iptables配置——NAT地址轉換

NAT-地址轉換技術的配置

華為路由器配置動態地址轉換

NAT介紹及iptables配置NAT的方法

vmware中的3種網路模式：橋接、NAT(地址轉換)、host-only

NAT地址轉換和埠複用PAT

NAT地址轉換

NAT(地址轉換技術)詳解

單臂路由、擴展ACL與NAT的網絡地址轉換的配置實驗

淺談NAT概念及原理，配置NAT 網絡地址轉換---PAT端口地址轉換；

Packet Tracer 思科模擬器入門教程之十七網路地址轉換NAT配置

NAT 內外網絡地址轉換

docker(iptables)目標地址轉換，運行中的容器映射端口

NAT（Network Address Translation）網絡地址轉換

網絡端口地址轉換的NAPT配置

配置動態PAT（port address translation網絡地址轉換）

網絡地址轉換NAT

NAT靜態轉換配置

網絡地址轉換——NAT

PAT地址轉換配置，端口復用

iptables配置——NAT地址轉換

相關推薦