| VB 源码 | VC 源码 | ASP源码 | JSP源码 | PHP源码 | CGI源码 | FLASH源码 | 素材模板 | C 源程序 | 站长工具 | 站长教程 |

防火墙

木马病毒
黑客技术
系统安全
防火墙
安全防范

本类阅读TOP10

·ARP欺骗技术
·防火墙软件Netfilter之包过滤技术
·使用iptable实现动态防火墙
·用iptales实现包过滤型防火墙(一)
·企业网中用Linux作为路由器
·防火墙软件Netfilter之NAT技术
·基于Linux的路由器和防火墙配置
·一个实用的防火墙配置范例
·用iptales实现包过滤型防火墙(二)
·用ipchains构建防火墙和IP伪装

站内搜索

防火墙软件Netfilter之NAT技术

本文档主要描述怎样进行IP伪装(masquerading)、透明代理(transparent proxying)、端口转发(port forwarding)和其他形式的网络地址翻译技术。

 

1. 什么是网络地址翻译NAT(Network Address Translation)?

 

当一个包在网络上传输时,从它的源地址(例如你自己的主机)到达目的地址(例如www.yahoo.com),中间经过很多节点和网络。这些节点通常不会改变你的包。他们仅仅转发你的包。

如果一个节点执行NAT,他将会修改包的源或目的地址。通常这个节点会记住他怎样修改了这个包,因此当相应的应答包从另一个方向到达时,他知道如何反向修改这个应答包。

 

2. 为什么要使用NAT?

 

l 用modem上网

大多数的ISPs只给你提供一个IP地址。你可以以任何源地址发出包,但是只有包含这个IP地址的包的应答包才会到达你的网络。如果你想使用多台机器(比如有个自己的网络)利用这个IP地址上网。需要NAT。

这是NAT使用得最为常见的情况,在linux的世界里称为IP伪装(masquerading)。又称之为SNAT,因为你要改变包的源地址。

l Multiple Servers

有时候你想改变到达你的网络的包的去向。通常因为你只有一个IP地址,但是你又想用户到达这个真实IP地址之后的各个机器。方法是修改这些包的目的地址,让他们到达不同的机器。

还有就是用于负载均衡。这种类型的NAT在linux上叫做端口转发(port-forwarding)。

l Transparent Proxying(透明代理)

透明代理是在你的网络和外部世界之间的程序,所有的进或出都要经过这个代理。之所以叫做“透明”,因为你的网络无需考虑他的存在。

例如,squid软件能够配置为透明代理。

 

3. 两种类型的NAT

 

NAT有两种类型:Source NAT(SNAT)和Destination NAT(DNAT)。

源NAT是指改变连接的第一个包的源地址。他是在路由之后做,即在包到达网线之前处理。IP伪装属于源NAT。

目的NAT是指改变连接的第一个包的目的地址。他是在路由之前做。端口转发、负载均衡、透明代理都属于目的NAT。

 

4. 仅仅需要IP伪装

这是大多数用户的要求。如果你有一个动态分配IP地址的PPP拨号连接,你仅仅想让你的内部网络发出的包发生改变,就像是从这个PPP拨号所分配的IP地址所发出的。如下:

# Load the NAT module (this pulls in all the others).
modprobe iptable_nat

 

# In the NAT table (-t nat), Append a rule (-A) after routing
# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to
# MASQUERADE the connection (-j MASQUERADE).
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

 

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
这里假设你没有做包过滤。

 

5. 端口转发

例如,要将1.2.3.4:8080变为192.168.1.1:80:

# Append a rule pre-routing (-A PREROUTING) to the NAT table (-t nat) that
# TCP packets (-p tcp) going to 1.2.3.4 (-d 1.2.3.4) port 8080 (--dport 8080)
# have their destination mapped (-j DNAT) to 192.168.1.1, port 80
# (--to 192.168.1.1:80).
iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080
-j DNAT --to 192.168.1.1:80
如果想让本地网络的机器适用于上面的规则,例如,本地机telnet 1.2.3.4 8080,就转变为telnet 192.168.1.1 80。可以在OUTPUT chain中插入规则:

iptables -A OUTPUT -t nat -p tcp -d 1.2.3.4 --dport 8080
-j DNAT --to 192.168.1.1:80


6. 控制NAT

你可以创建NAT规则来告诉内核改变哪些连接,以及怎么改变。同样,我们使用iptables工具。用选项“-t nat”来表示需要修改NAT表。

NAT表中包括3个chain:PREROUTING(用于目的NAT)、POSTROUTING(用于源NAT)、OUTPUT(用于本地产生的包的目的NAT)。如下图:

_____ _____
/ /
PREROUTING -->[Routing ]----------------->POSTROUTING----->
D-NAT/ [Decision] S-NAT/
| ^
| __|__
| /
| | OUTPUT|
| D-NAT/
| ^
| |
--------> Local Process ------
当一个包经过上图时,检查它属于什么样的连接,如果是新连接,查找NAT表决定做甚。

7. 使用iptables的简单选项

如果iptables作为一个模块,那么使用前需要insmod ip_tables。

最重要的选项是“-t”。对于所有的NAT操作,都需要-t nat。第二重要的是“-A”附加一条规则到chain的末尾;或者“-I”在开头插入一条规则。

用选项“-s”和“-d”来描述源和目的地址。

用选项“-i”和“-o”表示in的接口和out的接口。

用选项“-p”表示协议,例如-p TCP。

用选项“--sport”和“--dport”表示源和目的端口。

 

8. 源NAT

源NAT将连接的源地址改变成不同的地址,他是在POSTROUTING chain中完成。这非常重要,因为路由、包过滤都是在源地址改变之前做的。所以并不影响。

源NAT用选项“-j SNAT”描述,用“--to-source”来描述IP地址、一个范围的IP地址或者端口(仅仅用于TCP和UDP)。例如:

## Change source addresses to 1.2.3.4.
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

 

## Change source addresses to 1.2.3.4, 1.2.3.5 or 1.2.3.6
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

 

## Change source addresses to 1.2.3.4, ports 1-1023
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023
特殊情况(IP伪装):

有一种特殊的源NAT叫masquerading(前面讲过),仅仅用于拨号上网的情况(动态IP)。上面所讲的是静态IP。

在masquerading中不需要像上面那样清楚表达,只需要指明正确的网络接口。例如:

## Masquerade everything out ppp0.
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

 

9. 目的NAT

目的NAT在PREROUTING chain中完成,对于本机的应用程序来说(包括routing、包过滤程序)都忽略目的地址的改变,认为到达真实的目的地址。需要用到“-i”选项。

目的NAT用“-j DNAT”来表示,用“--to-destination”选项来描述IP地址、IP地址的范围或者端口。例如:

## Change destination addresses to 5.6.7.8
# iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8

 

## Change destination addresses to 5.6.7.8, 5.6.7.9 or 5.6.7.10.
# iptables -t nat -A PREROUTING -i eth1 -j DNAT --to 5.6.7.8-5.6.7.10

 

## Change destination addresses of web traffic to 5.6.7.8, port 8080.
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1
-j DNAT --to 5.6.7.8:8080

 

## Redirect local packets to 1.2.3.4 to loopback.
# iptables -t nat -A OUTPUT -d 1.2.3.4 -j DNAT --to 127.0.0.1
重定向:(Redirection)

目的地址的一个特例叫做重定向。相当于对进来的包作目的NAT,例如:

## Send incoming port-80 web traffic to our squid (transparent) proxy
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80
-j REDIRECT --to-port 3128


10.源NAT与路由

如果你做了源NAT,要注意路由器返回信息时能不能找到你真正的机器。例如,你将自己机器发出的包的源地址改为1.2.3.4,这样外部路由器将向你发送应答包(目的地址是1.2.3.4)。怎样到达你的机器?

如果你变化后的源地址是本地网络所用的地址,则不需要变化,直接返回到这个地址;

如果变化后是本地网络不用的地址,例如,你变成1.2.3.99,一个本地局域网未用的地址,网络地址1.2.3.0/24,则需要做ARP查询,有一个简单的方法是做IP alias,例如:

# ip address add 1.2.3.99 dev eth0

如果变成一个完全不同的地址(不属于本地局域网),必须向路由器发出一条路由信息或者手工加一条路由记录。

 

11.目的NAT变目的地址到同一个网络

古典的例子内部的职工想访问你的公共的web server,目的地址从公共地址(1.2.3.4)变成内部地址(192.168.1.1),执行:

# iptables -t nat -A PREROUTING -d 1.2.3.4
-p tcp --dport 80 -j DNAT --to 192.168.1.1
一种方法是运行一个内部的DNS server,他知道公共web server的地址,并且将其他的request请求转发到外部的DNS server。另一个方法是将源地址映射到自己的连接上,让web server的返回信息通过他。执行:

# iptables -t nat -A POSTROUTING -d 192.168.1.1 -s 192.168.1.0/24
-p tcp --dport 80 -j SNAT --to 192.168.1.250





相关文章
  • 防火墙软件Netfilter之包过滤技术
  • 防火墙技术综述
  • 防火墙分析报告
  • 路由器基础
  • 简易防火墙建置与流量统计之5
  • 简易防火墙建置与流量统计之4
  • 简易防火墙建置与流量统计之3
  • 简易防火墙建置与流量统计之2
  • 简易防火墙建置与流量统计之1
  • 用Linux防火墙构建软路由
  • 用Linux+IPChains代替Windows+WinGate
  • 用iptales实现包过滤型防火墙(二)
  • 用iptales实现包过滤型防火墙(一)
  • 用iptables实现NAT
  • 用ipchains构建防火墙和IP伪装
  • 构建基于ipchains的Linux防火墙
  • 教你将Linux配置为代理防火墙
  • 恢复IpTables的默认设置(Script)
  • 怎样用ipchains构建防火墙
  • 局域网通过LINUX主机上网手记
  • 相关软件




    月光软件源码下载编程文档电脑教程网站优化网址导航网络文学游戏天地生活休闲写作范文安妮宝贝站内搜索
    电脑技术编程开发网络专区谈天说地情感世界游戏元素分类游戏热门游戏体育运动手机专区业余爱好影视沙龙
    音乐天地数码广场教育园地科学大观古今纵横谈股论金人文艺术医学保健动漫图酷二手专区地方风情各行各业

    月光软件站·版权所有