轉(zhuǎn)自：ZONG_XP

0 背景

考慮一種網(wǎng)絡(luò)拓?fù)鋺?yīng)用情景，一個內(nèi)部局域網(wǎng)中有多臺服務(wù)器提供不同的服務(wù)，如web服務(wù)、FTP服務(wù)、ssh、telnet等，通過服務(wù)器(或網(wǎng)關(guān)、防火墻)連接外部網(wǎng)絡(luò)，如果外部網(wǎng)絡(luò)上的主機需要訪問這些服務(wù)器，則需要在網(wǎng)關(guān)上實現(xiàn)轉(zhuǎn)發(fā)。

再轉(zhuǎn)述成另一種應(yīng)用場合，多臺設(shè)備連接到一臺服務(wù)器，服務(wù)器有2個網(wǎng)卡，分別連接內(nèi)外網(wǎng)。外網(wǎng)無法直接訪問設(shè)備上的數(shù)據(jù)、服務(wù)。在服務(wù)器上實現(xiàn)轉(zhuǎn)發(fā)后，則可達到目的。

網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

比如，可以通過服務(wù)器的8081端口訪問1號設(shè)備的web服務(wù)，8082端口訪問2號設(shè)備web，這樣可以在外部網(wǎng)絡(luò)對內(nèi)網(wǎng)設(shè)備進行參數(shù)配置、調(diào)整。類似地，通過2321訪問1號設(shè)備的telnet服務(wù)，2322訪問2號設(shè)備telnet，以方便登陸設(shè)備系統(tǒng)，進行設(shè)備狀態(tài)監(jiān)控，日志處理，等等。

本文將直接引用此網(wǎng)絡(luò)拓?fù)鋱D中的名稱及IP地址。實際使用配置根據(jù)實際情況修改。另外說明一下，不必拘泥于本文給出的名稱。像拓?fù)鋱D中的“設(shè)備”，可以使用一臺安裝linux的服務(wù)器替換。其它的類似。

一、原理

在Linux系統(tǒng)使用iptables實現(xiàn)防火墻、數(shù)據(jù)轉(zhuǎn)發(fā)等功能。iptables有不同的表(tables)，每個tables有不同的鏈(chain)，每條chain有一個或多個規(guī)則(rule)。本文利用NAT(network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)表來實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。iptables命令要用-t來指定表，如果沒有指明，則使用系統(tǒng)缺省的表“filter”。所以使用NAT的時候，就要用“-t nat”選項了。
NAT表有三條缺省的鏈，它們分別是PREROUTING、POSTROUTING和OUTPUT。

先給出NAT結(jié)構(gòu)，如下圖：

PREROUTING：在數(shù)據(jù)包傳入時，就進到PREROUTIING鏈。該鏈執(zhí)行的是修改數(shù)據(jù)包內(nèi)的目的IP地址，即DNAT（變更目的IP地址）。PREROUTING只能進行DNAT。因為進行了DNAT，才能在路由表中做判斷，決定送到本地或其它網(wǎng)口。

POSTROUTING：相對的，在POSTROUTING鏈后，就傳出數(shù)據(jù)包，該鏈?zhǔn)钦麄€NAT結(jié)構(gòu)的最末端。執(zhí)行的是修改數(shù)據(jù)包的源IP地址，即SNAT。POSTROUTING只能進行SNAT。

OUTPUT：定義對本地產(chǎn)生的數(shù)據(jù)包的目的NAT規(guī)則。

每個數(shù)據(jù)包都會依次經(jīng)過三個不同的機制，首先是PREROUTING(DNAT)，再到路由表，最后到POSTROUTING(SNAT)。下面給出數(shù)據(jù)包流方向：

文中的網(wǎng)絡(luò)拓?fù)鋱D所示的數(shù)據(jù)包，是從eth0入，eth1出。但是，無論從eth0到eth1，還是從eth1到eth0，均遵守上述的原理。就是說，SNAT和DNAT并沒有規(guī)定只能在某一個網(wǎng)口(某一側(cè))。

順便給出netfilter的完整結(jié)構(gòu)圖：

二、實現(xiàn)

出于安全考慮，Linux系統(tǒng)默認(rèn)是禁止數(shù)據(jù)包轉(zhuǎn)發(fā)的。所謂轉(zhuǎn)發(fā)即當(dāng)主機擁有多于一塊的網(wǎng)卡時，其中一塊收到數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的目的ip地址將包發(fā)往本機另一網(wǎng)卡，該網(wǎng)卡根據(jù)路由表繼續(xù)發(fā)送數(shù)據(jù)包。這通常就是路由器所要實現(xiàn)的功能。

配置Linux系統(tǒng)的ip轉(zhuǎn)發(fā)功能，首先保證硬件連通，然后打開系統(tǒng)的轉(zhuǎn)發(fā)功能

cat /proc/sys/net/ipv4/ip_forward，該文件內(nèi)容為0，表示禁止數(shù)據(jù)包轉(zhuǎn)發(fā)，1表示允許，將其修改為1。可使用命令echo "1" > /proc/sys/net/ipv4/ip_forward修改文件內(nèi)容，重啟網(wǎng)絡(luò)服務(wù)或主機后效果不再。若要其自動執(zhí)行，可將命令echo "1" > /proc/sys/net/ipv4/ip_forward 寫入腳本/etc/rc.d/rc.local 或者在/etc/sysconfig/network腳本中添加 FORWARD_IPV4="YES"

但在我的系統(tǒng)中沒有這兩個文件，因此可以修改/etc/sysctl.conf文件，將net.ipv4.ip_forward=1的注釋取消即可

根據(jù)拓?fù)鋱D，一一實現(xiàn)不同IP、不同端口的映射，如下命令為一種示例形式：

# 第一臺設(shè)備的telnet服務(wù)iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 2321 -j DNAT --to 100.100.100.101:23iptables -t nat -A POSTROUTING -o eth1 -d 100.100.100.101 -p tcp --dport 23 -j SNAT --to 100.100.100.44# 第二臺設(shè)備的telnet服務(wù)iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 2322 -j DNAT --to 100.100.100.102:23iptables -t nat -A POSTROUTING -o eth1 -d 100.100.100.102 -p tcp --dport 23 -j SNAT --to 100.100.100.44 # 第一臺設(shè)備的web服務(wù)iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 8081 -j DNAT --to 100.100.100.101:80iptables -t nat -A POSTROUTING -o eth1 -d 100.100.100.101 -p tcp --dport 80 -j SNAT --to 100.100.100.44# 第二臺設(shè)備的web服務(wù)iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 8082 -j DNAT --to 100.100.100.102:80iptables -t nat -A POSTROUTING -o eth1 -d 100.100.100.102 -p tcp --dport 80 -j SNAT --to 100.100.100.44

以第一臺設(shè)備轉(zhuǎn)發(fā)命令為例，用白話解釋一下。

第一條是PREROUTING鏈，只能進行DNAT，該命令對從eth0進入且目的IP為172.18.44.44(注：可以用-s指明數(shù)據(jù)包來源地址，但這時無法知道來源IP是多少，雖然可以用網(wǎng)段的做法，但用-d則指定必須一定唯一的是本機的eth0地址，相對好一點)，端口號為2321的數(shù)據(jù)包進行目的地址更改，更改為100.100.100.101，端口為23，亦即此包的目的地為第一臺設(shè)備的telnet服務(wù)。

第二條是POSTROUTING鏈，只能進行SNAT，即對先前已經(jīng)DNAT過的數(shù)據(jù)包修改源IP地址。這樣，這個數(shù)據(jù)包達到第一臺設(shè)備時，源IP地址、目的IP地址，均為100.100.100.0/24網(wǎng)段了。

上述命令的SNAT有些冗余，可以做簡化，命令如下：

# 第一臺設(shè)備的telnet、web服務(wù)iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 2321 -j DNAT --to 100.100.100.101:23iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 8081 -j DNAT --to 100.100.100.101:80# 第二臺設(shè)備的telnet、web服務(wù)iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 2322 -j DNAT --to 100.100.100.102:23iptables -t nat -A PREROUTING -i eth0 -d 172.18.44.44 -p tcp --dport 8082 -j DNAT --to 100.100.100.102:80# 源IP地址SNATiptables -t nat -A POSTROUTING -o eth1 -d 100.100.100.0/24 -j SNAT --to 100.100.100.44

實際中使用的命令可能還有變化(簡化)，本文不再展示。

三、測試

為了保證文中所述的正確性，本節(jié)列出操作結(jié)果，以及實驗過程的信息。服務(wù)器(網(wǎng)關(guān))上的路由表如下：

root@latelee:test# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface100.100.100.0 * 255.255.255.0 U 0 0 0 eth1172.18.0.0*255.255.0.0U000eth0

可以看到服務(wù)器上有2個網(wǎng)卡，網(wǎng)段都不相同。iptables的NAT表如下：

root@latelee:~# iptables -L -t natChain PREROUTING (policy ACCEPT)target prot opt source destination DNAT tcp -- anywhere 172.18.44.44 tcp dpt:2324 to23Chain INPUT (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination Chain POSTROUTING (policy ACCEPT)target prot opt source destination SNAT all -- anywhere 100.100.100.0/24 to:100.100.100.44

可以看到，PREROUTING和POSTROUTING各有一條規(guī)則，這些規(guī)則由上文命令所產(chǎn)生。對應(yīng)的，在第一號設(shè)備上查看路由信息，如下：

root@latelee:~# routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface100.100.100.0 * 255.255.255.0 U 0 0 0 eth0172.18.0.0 * 255.255.0.0 U 0 0 0 eth1default 100.100.100.44 0.0.0.0 UG 0 0 0 eth0

可以看到這臺設(shè)備有2個網(wǎng)卡，默認(rèn)網(wǎng)關(guān)為服務(wù)器的IP地址。但是，其中一個網(wǎng)卡eth1竟然和PC所在網(wǎng)段相同！如果沒有進行源IP地址修改(偽裝)，會匹配到eth1這個網(wǎng)口，無法匹配eth0。

在外網(wǎng)的PC上對設(shè)備進行telnet，設(shè)備抓包信息如下：

IP 100.100.100.44.32253 > 100.100.100.101.2323: Flags [P.], seq 1:4, ack 16, win 256, length 3IP 100.100.100.101.2323 > 100.100.100.44.32253: Flags [P.], seq 16:19, ack 4, win 2190, length 3IP 100.100.100.44.32253 > 100.100.100.101.2323: Flags [P.], seq 4:25, ack 19, win 256, length 21IP 100.100.100.101.2323 > 100.100.100.44.32253: Flags [P.], seq 19:34, ack 25, win 2190, length 15

可見，所有包的IP段都相同。在服務(wù)器上對內(nèi)網(wǎng)eth1進行抓包，由于進行了DNAT和SNAT，此網(wǎng)卡數(shù)據(jù)包IP地址還是100.100.100.0/24網(wǎng)段，如下：

IP 100.100.100.44.32253 > 100.100.100.101.telnet: Flags [.], ack 1, win 256, length 0IP 100.100.100.101.telnet > 100.100.100.44.32253: Flags [P.], seq 1:16, ack 1, win 2190, length 15IP 100.100.100.44.32253 > 100.100.100.101.telnet: Flags [P.], seq 1:4, ack 16, win 256, length 3IP 100.100.100.101.telnet > 100.100.100.44.32253: Flags [P.], seq 16:19, ack 4, win 2190, length 3

但是，在服務(wù)器eth0抓包，將會是172.18.0.0/16的網(wǎng)段數(shù)據(jù)包：

IP 172.18.44.142.32253 > 172.18.44.44.2324: Flags [P.], seq 18:20, ack 154, win 255, length 2IP 172.18.44.44.2324 > 172.18.44.142.32253: Flags [P.], seq 154:156, ack 20, win 2190, length 2IP 172.18.44.44.2324 > 172.18.44.142.32253: Flags [F.], seq 156, ack 20, win 2190, length 0IP 172.18.44.142.32253 > 172.18.44.44.2324: Flags [.], ack 157, win 255, length 0IP 172.18.44.142.32253 > 172.18.44.44.2324: Flags [F.], seq 20, ack 157, win 255, length 0IP 172.18.44.44.2324 > 172.18.44.142.32253: Flags [.], ack 21, win 2190, length 0

從抓包分析，本文所用命令已經(jīng)能正確進行DNAT和SNAT了。

四、其它

建議在使用iptabls指令時，使用root用戶進行操作，否則容易失敗

保存iptables配置方法：

iptables-save > /etc/iptables.up.rules

配置iptables開機加載

iptables-save>/etc/iptables.up.rulesecho -e '#!/bin/bash /sbin/iptables-restore < /etc/iptables.up.rules' > /etc/network/if-pre-up.d/iptableschmod +x /etc/network/if-pre-up.d/iptables

本地測試指令

iptables -t nat -A PREROUTING -i wlan0 -d 192.168.11.100 -p tcp --dport 8081 -j DNAT --to 192.168.10.101:80iptables -t nat -A POSTROUTING -o eth0 -d 192.168.10.101 -p tcp --dport 80 -j SNAT --to 192.168.10.52

原文標(biāo)題：Linux之iptables端口轉(zhuǎn)發(fā)：外網(wǎng)訪問內(nèi)網(wǎng)

文章出處：【微信公眾號：Linux愛好者】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責(zé)任編輯：haq