码迷,mamicode.com
首页 > 系统相关 > 详细

static stateless 2-way NAT on Linux with iptables的应用实例

时间:2015-01-03 10:42:53      阅读:284      评论:0      收藏:0      [点我收藏+]

标签:stateless static nat   linux   iptables   conntrack   

前面几天,我完成了一个static stateless 2-way NAT,写了几篇文章,但是着重于理论分析,本文来展示一个应用实例。在具体展示实例之前,先说一个static stateless 2-way NAT和Linux原生conntrack NAT的区别,static stateless 2-way NAT并不会限制连接的数量,因为它不用维护连接状态,也就没有了最大值的限制,其次,如果static stateless 2-way NAT的算法更好些,它的效率会更高。在哈尔滨长春旅游的那些天,我曾经想过,能不能用这种stateless的方式实现一个NAPT呢?后来觉得很难,因为在TCP/IP协议层面,一个特定的连接中的5元组是不能发生变化的(UDP协议视情况而定),这就要求NAPT在完成5元组唯一性映射的时候需要识别出一个连接,这就不再是stateless了,而是stateful了,一个例子就可以说明这种情况,假设连接A的数据包a的5元组被映射到了{sip-1,dip-1,tcp,sport-1,dport-1},此后这个连接断开了,问题是如果过去很久以后又有相同5元组的TCP连接来到怎么办呢?解决这个问题的办法就是为一个entry维护一个timer,这样...这样还不如直接用conntrack NAT呢....
       首先给出一个简单的拓扑图:
<client>eth0:192.168.10.1
|
|
eth0:192.168.10.254
<FWD>[NAT BOX]
eth1:192.168.184.254
|
|
eth0:192.168.184.1
<FWD>                           
eth1:192.168.1.1
|
|
<server>eth0:192.168.1.8
在上面简单的拓扑中,我希望的是在client可以拉取1.2.1.2上的网页,而1.2.1.2是映射到server上的,此外,端口由12345映射到80。这个映射是完全无状态的,用我的static stateless 2-way NAT来完成。
       在我还没有做好iptables接口之前,我使用procfs文件系统接口,那个时候还没有dev支持,命令如下:
echo ‘+1.2.1.2 192.168.1.8 dst tcp port-map 12345 80 ‘ >/proc/net/static_nat
echo ‘+192.168.184.250 192.168.184.154 src tcp‘ >/proc/net/static_nat
后来有了更为方便的iptables接口,事情起了变化,我可以用熟悉的iptables命令来配置了,依然在nat表配置规则:
root@abcd:~# iptables-save
# Generated by iptables-save v1.4.21 on Sun Dec 28 03:23:22 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1484:204554]
-A PREROUTING -j STATIC-2-WAY-NAT --mapaddr 192.168.184.250-192.168.184.154 --type src --proto all --mapport 0-0 --dev eth1
-A POSTROUTING -j STATIC-2-WAY-NAT --mapaddr 1.2.1.2-192.168.1.8 --type dst --proto tcp --mapport 12345-80 --dev eth0
COMMIT
# Completed on Sun Dec 28 03:23:22 2014
root@abcd:~#
除了可以完成配置之外,我保留了一个统计信息,可以看出有多少个数据包以及多少个字节经历了NAT。统计信息的查看方式如下:
root@abcd:~# cat /proc/net/static_nat Source trans table:
From:192.168.184.250 To:192.168.184.154    [ALL STATIC] [eth1] [Bytes:1080  Packet:23]
From:192.168.1.8     To:1.2.1.2            [TCP AUTO] Port map[From:80    To:12345] [eth0] [Bytes:124  Packet:3]

Destination trans table:
From:1.2.1.2         To:192.168.1.8        [TCP STATIC] Port map[From:12345 To:80   ] [eth0] [Bytes:180  Packet:4]
From:192.168.184.154 To:192.168.184.250    [ALL AUTO] [eth1] [Bytes:5348  Packet:90]
root@abcd:~#
展示统计信息的粒度是很重要的,当然,如果能表示都有哪些数据包经历了NAT并可以打印数据包的超级详细信息,那是再好不过的了,但是那样会损失大量的时间和空间,所以只能求取舍了。

static stateless 2-way NAT on Linux with iptables的应用实例

标签:stateless static nat   linux   iptables   conntrack   

原文地址:http://blog.csdn.net/dog250/article/details/42360579
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!