tetste

http://book.51cto.com/art/200904/120833.htm

 

9.4.3 使用iptables配置目的NAT 目的NAT改变的是数据包的目的IP地址，当来自Internet的数据包访问NAT服务器网络接口的公网IP时，NAT服务器会把这些数据包的目的地址转换为某一对应的内网IP，再路由给内网计算机。这样，使用内网IP地址的服务器也可以为Internet上的计算机提供网络服务了。 如图9-11所示，位于子网10.10.1.0/24的是普通的客户机，它们使用源NAT访问Internet。而子网10.10.2.0/24是服务器网段，里面的计算机运行着各种网络服务，它们不仅要为内网提供服务，而且要为Internet上的计算机提供服务。但由于使用的是内网地址，因此需要在NAT服务器配置目的NAT，才能让来自Internet的数据包能顺利到达服务器网段。 图9-11 用于目的NAT配置的例子网络结构 假设IP为10.10.2.3的计算机需要为Internet提供网络服务，此时，可以规定一个公网IP地址，使其与10.10.2.3建立映射关系。假设使用的公网IP是218.75.26.34，则配置目的NAT的命令如下： # iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -j DNAT --to 10.10.2.3 以上命令是在PREROUTING链中添加规则，这条链位于路由模块的前面，因此是在路由前改变了数据包的目的IP，这将对路由的结果造成影响。由于网络接口eth0与Internet连接，因此，"-i eth0"保证了数据包是来自Internet的数据包。"-d 218.75.26.34/32"表示数据包的目的地是到218.75.26.34主机，而这个IP应该是eth0某个子接口的地址，这样才能由NAT服务器接收数据包，否则，数据包将会因为无人接收而丢弃。 "-j DNAT"指定了目标动作是DNAT，表示要对数据包的目的IP进行修改，它的子选项"--to 10.10.2.3"表示修改后的IP地址是10.10.2.3。于是，目的IP修改后，接下来将由路由模块把数据包路由给10.10.2.3服务器。 以上是让一个公网IP完全映射到内网的某个IP上，此时同10.10.2.3主机直接位于Internet，并且使用218.75.26.34地址是没有区别的。因此这种方式虽然达到了地址转换的目的，但实际上并没有带来多大好处，因为使用NAT的主要目的是为了能够共用公网IP地址，以节省日益紧张的IP地址资源。为了达到共用IP地址的目的，可以使用端口映射。 端口映射是把一个公网IP地址的某一端口映射到内网某一IP地址的某一端口上去。它使用起来非常灵活，两个映射的端口其端口号可以不一样，而且同一个公网IP的不同端口可以映射到不同的内网IP地址上去。 例如，假设主机10.10.2.3只为外网提供Web服务，因此，只需要开放80端口，而主机10.10.2.9为外网提供了FTP服务，因此需要开放21号端口。在这种情况下，完全可以把公网IP地址218.75.26.34的80号和21号端口分别映射到10.10.2.3和10.10.2.9的80号和21号端口，以便两台内网服务器可以共用一个公网IP。具体命令如下所示。 # iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -p tcp --dport 80 -j DNAT --to 10.10.2.3:80 # iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -p tcp --dport 21 -j DNAT --to 10.10.2.9:21 以上命令中，目的地址是218.75.26.34的TCP数据包。当目的端口是80时，将转发给10.10.2.3主机的80端口；当目的端口是21时，将转发给10.10.2.9主机的21号端口。当然，两个映射的端口完全可以不一样。例如，如果还有一台主机10.10.2.8也通过80端口提供Web服务，并且映射的IP地址也是218.75.26.34，此时需要把218.75.26.34的另一个端口，如8080，映射到10.10.2.8的80端口，命令如下： # iptables -t nat -A PREROUTING -i eth0 -d 218.75.26.34/32 -p tcp --dport 8080 -j DNAT --to 10.10.2.8:80 注意：上面介绍的只是有关iptables中的DNAT配置，在实际应用中，还需要其他一些配置的配合才能真正成功。例如，filter表的3个链应该允许相应的数据包通过，应该为每一个外网IP创建eth0接口的子接口等。 此外，对于FTP服务来说，由于21号端口只是建立控制连接时用到的端口，真正传输数据时要使用其他端口。而且在被动方式下，客户端向FTP服务器发起连接的端口号是随机的，因此，无法通过开放固定的端口来满足要求。为了解决这个问题，可以在Linux系统中载入以下两个模块。 modprobe ip_conntrack_ftp modprobe ip_nat_ftp 这两个模块可以监控FTP控制流，以便能事先知道将要建立的FTP数据连接所使用的端口，从而可以允许相应的数据包通过，即使防火墙没有开放这个端口。