linux教程：如何用iptables實現NAT

本文主要介紹如何使用iptbales實現linux2.4下的強大的NAT功能。關於iptables的詳細文法請參考“用iptales實現包過慮型防火牆”一文。需要申明的是，本文絕對不是 NAT-HOWTO的簡單重複或是中文版，在整個的敘述過程中，作者都在試圖用自己的語言來表達自己的理解，自己的思想。
　　一、概述
　　1. 什麼是NAT
　　在傳統的標準的TCP/IP通訊過程中，所有的路由器僅僅是充當一個中間人的角色，也就是通常所說的儲存轉寄，路由器並不會對轉寄的資料包進行修改，更為確切的說，除了將源MAC地址換成自己的MAC地址以外，路由器不會對轉寄的資料包做任何修改。NAT(Network Address Translation網路地址翻譯)恰恰是出於某種特殊需要而對資料包的源ip地址、目的ip地址、源連接埠、目的連接埠進行改寫的操作。在一個網路內部，根據需要可以隨意自訂的IP地址，而不需要經過申請。在網路內部，各電腦間通過內部的IP地址進行通訊。而當內部的電腦要與外部internet網路進行通訊時，具有NAT功能的裝置(比如：路由器)負責將其內部的IP地址轉換為合法的IP地址(即經過申請的IP地址)進行通訊。
　　2. 為什麼要進行NAT
　　我們來看看再什麼情況下我們需要做NAT。
　　假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區使用者的IP地址都是偽IP，但是部分使用者要求建立自己的WWW伺服器對外發布資訊，這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部網卡上綁定多個合法IP地址，然後通過NAT技術使發給其中某一個IP地址的包轉寄至內部某一使用者的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
　　再比如使用撥接的網吧，因為只有一個合法的IP地址，必須採用某種手段讓其他機器也可以上網，通常是採用Proxy 伺服器的方式，但是Proxy 伺服器，尤其是應用程式層Proxy 伺服器，只能支援有限的協議，如果過了一段時間後又有新的服務出來，則只能等待Proxy 伺服器支援該新應用的升級版本。如果採用NAT來解決這個問題，
　　因為是在應用程式層以下進行處理，NAT不但可以獲得很高的訪問速度，而且可以無縫的支援任何新的服務或應用。
　　還有一個方面的應用就是重新導向，也就是當接收到一個包後，不是轉寄這個包，而是將其重新導向到系統上的某一個應用程式。最常見的應用就是和squid配合使用成為透明代理，在對http流量進行緩衝的同時，可以提供對Internet的無縫訪問。
　　3. NAT的類型
　　在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉寄資料包的源地址，所謂DNAT就是改變轉寄資料包的目的地址。
　　二、原理
　　在“用iptales實現包過慮型防火牆”一文中我們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter"，所以在使用filter功能時，我們沒有必要顯式的指明"-t filter"。
　　同filter表一樣，nat表也有三條預設的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是:
　　PREROUTING:可以在這裡定義進行目的NAT的規則，因為路由器進行路由時只檢查資料包的目的ip地址，所以為了使資料包得以正確路由，我們必須在路由之前就進行目的NAT;
　　POSTROUTING:可以在這裡定義進行源NAT的規則，系統在決定了資料包的路由以後在執行該鏈中的規則。
　　OUTPUT:定義對本地產生的資料包的目的NAT規則。
　三、操作文法

　　如前所述，在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
　　1. 對規則的操作
　　加入(append) 一個新規則到一個鏈 (-A)的最後。
　　在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。
　　在鏈內某個位置替換(replace) 一條規則 (-R)。
　　在鏈內某個位置刪除(delete) 一條規則 (-D)。
　　刪除(delete) 鏈內第一條規則 (-D)。
　　2. 指定源地址和目的地址
　　通過--source/--src/-s來指定源地址(這裡的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
　　a. 使用完整的網域名稱，如“www.linuxaid.com.cn”;
　　b. 使用ip地址，如“192.168.1.1”;
　　c. 用x.x.x.x/x.x.x.x指定一個網路地址，如“192.168.1.0/255.255.255.0”;
　　d. 用x.x.x.x/x指定一個網路地址，如“192.168.1.0/24”這裡的24表明了子網路遮罩的有效位元，這是 UNIX環境中通常使用的表示方法。
　　預設的子網路遮罩數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。
　　3. 指定網路介面
　　可以使用--in-interface/-i或--out-interface/-o來指定網路介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
　　4. 指定協議及連接埠
　　可以通過--protocol/-p選項來指定協議，如果是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明連接埠。
　　四、準備工作
　　1. 編譯核心，編譯時間選中以下選項，具體可參看“用iptales實現包過慮型防火牆”一文:
　　 Full NAT
　　 MASQUERADE target support
　　 REDIRECT target support
　　2. 要使用NAT表時，必須首先載入相關模組:
　　modprobe ip_tables
　　modprobe ip_nat_ftp
　　iptable_nat 模組會在運行時自動載入。
五、使用執行個體
　　1. 源NAT(SNAT)
　　比如，更改所有來自192.168.1.0/24的資料包的源ip地址為1.2.3.4:
　　iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4
　　這裡需要注意的是，系統在路由及過慮等處理直到資料包要被送出時才進行SNAT。
　　有一種SNAT的特殊情況是ip欺騙，也就是所謂的Masquerading，通常建議在使用撥接的時候使用，或者說在合法ip地址不固定的情況下使用。比如
　　# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
　　可以看出，這時候我們沒有必要顯式的指定源ip地址等資訊。
　　2. 目的SNAT(DNAT)
　　比如，更改所有來自192.168.1.0/24的資料包的目的ip地址為1.2.3.4:
　　iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4
　　這裡需要注意的是，系統是先進行DNAT，然後才進行路由及過慮等操作。
　　有一種DNAT的特殊情況是重新導向，也就是所謂的Redirection，這時候就相當於將合格資料包的目的ip地址改為資料包進入系統時的網路介面的ip地址。通常是在與squid配置形成透明代理時使用，假設squid的監聽連接埠是3128，我 們可以通過以下語句來將來自192.168.1.0/24，目的連接埠為80的資料包重新導向到squid監聽
　　連接埠:
　　iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80
　　-j REDIRECT --to-port 3128
  　　六、綜合例子
　　1. 使用撥號帶動區域網路上網
　　小型企業、網吧等多使用撥號網路上網，通常可能使用代理，但是考慮到成本、對協議的支援等因素，建議使用ip欺騙方式帶動地區網上網。
　　成功升級核心後安裝iptables，然後執行以下指令碼:
　　#載入相關模組
　　modprobe ip_tables
　　modprobe ip_nat_ftp
　　#進行ip偽裝
　　iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
　　2. ip映射
　　假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區使用者的IP地址都是偽IP，但是部分使用者要求建立自己的WWW伺服器對外發布資訊。我們可以再防火牆的外部網卡上綁定多個合法IP地址，然後通過ip映射使發給其中某一 個IP地址的包轉寄至內部某一使用者的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
　　我們假設以下情景:
　　該ISP分配給A單位www伺服器的ip為:
　　偽ip:192.168.1.100
　　真實ip:202.110.123.100
　　該ISP分配給B單位www伺服器的ip為:
　　偽ip:192.168.1.200
　　真實ip:202.110.123.200
　　linux防火牆的ip地址分別為:
　　內網介面eth1:192.168.1.1
　　外網介面eth0:202.110.123.1
　　然後我們將分配給A、B單位的真實ip綁定到防火牆的外網介面，以root許可權執行以下命令:
　　ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
　　ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
　　成功升級核心後安裝iptables，然後執行以下指令碼:
　　#載入相關模組
　　modprobe ip_tables
　　modprobe ip_nat_ftp
　　首先，對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有資料包進行目的NAT(DNAT):
　　iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
　　iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200
　　其次，對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的資料包進行源NAT(SNAT):
　　iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
　　iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200
　　這樣，所有目的ip為202.110.123.100和202.110.123.200的資料包都將分別被轉寄給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的資料包都將分 別被偽裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映射。