聚合国内IT技术精华文章,分享IT技术精华,帮助IT从业人士成长

NAT 跟默认网关的问题(dual NAT)

2014-08-31 02:25 浏览: 4192 次 我要评论(0 条) 字号:

由于要做数据同步,需要对我们内网的机器做 1 对 1 IP nat map,这样可以通过访问一台 nat 路由设备 map 到我们内网的机器。

先说常规性的做法。
一般情况下,这台 nat 设备会充当内网的 gateway,这样在这台 nat 上做一个 dnat 就可以顺利解决了。比如我 GW 的地址是 192.168.1.24,我想通过一对一的方式 map 到后面的 192.168.1.33 这台开放了 28017 TCP 的机器:
# iptables -t nat -A PREROUTING -d 192.168.1.24 -j DNAT –to-destination 192.168.1.33

像上面这样就可以了,但是如果 192.168.1.24 这台机器本身就开放了 28017 端口则会比较悲剧,因此,另外一种做法是选一个不存在的 IP,比如 192.168.1.200,这样可以任意的建立 socket 而不用担心其 TCP 端口被占用:
# iptables -t nat -A PREROUTING -d 192.168.1.200 -j DNAT –to-destination 192.168.1.33

当然,上面这两种方式都不是很规范,比较好的还是指定 IP 以及 port,像下面这样:
# iptables -t nat -A PREROUTING -p tcp -m tcp -d 192.168.1.24 –dport 10000 -j DNAT   –to-destination 192.168.1.33:28017


上面的情况比较简单,现在来看看下面这种情况,也就是非常规性的做法,专业术语叫 "dual NAT"。
环境跟上面的不大一样,最终要访问的机器的 default gateway 并非指向了 nat 设备,也就是他们二者没有任何关系。具体的环境可以看 superuser 上的这个案例,在这种情况下,仅仅做一个 dnat 是不够的,还需要再做一次 snat 这样才能在回包的时候走正确的路由。
以他为例,在 client 把包发给 PC1 后,首先经过下面这条规则:
# iptables -t nat -A PREROUTING -p tcp -m tcp -d 1.0.0.1 –dport 80 -j DNAT  –to-destination 172.16.0.3:80

于是该包的 src(假设为 192.168.1.1:22222) 不变,dst 由 1.0.0.1:80 变成了 172.16.0.3:80,紧接着,经过 POSTROUTING:
# iptables -t nat -A POSTROUTING -p tcp -m tcp -d 172.16.0.3 –dport 80 -j SNAT –to-source 172.16.0.1:22222

于是该包的 src 由 192.168.1.1:22222 变成了 172.16.0.1:22222,这样修改后的包变成了 src 172.16.0.1:22222,dst 172.16.0.3:80,通过这种方式,成功的绕过了 PC3 default gateway 的问题。
如果仅仅包含 PREROUTING 这条 rule,那么包就变成了 src 192.168.1.1:2222,dst 172.16.0.3:80,虽然包能抵达 PC3,但是在返回的时候,PC1 发现原来的 (192.168.1.1:2222 <-> 1.0.0.1:80) 变成了 (192.168.1.1:2222 <-> 172.16.0.3:80),就直接发 R(Unskilled Attackers Pester Real Security Folks)标志了。可以看看我下面这个模拟的抓包结果:
16:06:36.694253 IP 192.168.1.1:2222 > 172.16.0.3.80: Flags [SEW], seq 868362120, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
16:06:36.694279 IP 172.16.0.3.80 > 192.168.1.1:2222: Flags [S.E], seq 1535533077, ack 868362121, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
16:06:36.694591 IP 192.168.1.1:2222 > 172.16.0.3.80: Flags [R], seq 868362121, win 0, length 0

所以,记住,如果是这种非网关的形式,务必要 PREROUTING 跟 POSTROUTING 同时做。

理解了上面的问题,再说下我们线上的问题。当时脑子昏了随便找了台开启了 ip_forward 的服务器充当这台 NAT 设备,并且我只开启了 PREROUTING,结果可想而是,没法建立 TCP 链接,搞清楚了问题之后就找了台网关的机器,同时配备了内外网,从外界的客户端通过这个公网 IP 访问内部的机器就很简单了。同样的还是分两种情况,如果要访问的内部机器的 GW 指向这台 nat 设备,很简单,直接 PREROUING,如果没有指向,那么记得再添加一个 POSTROUTING:
# iptables -t nat -A PREROUTING -d nat_public_ip -j DNAT –to-destination  dst_server_ip
# iptables -t nat -A POSTROUTING -d dst_server_ip -j SNAT –to-source nat_private_ip

ref:

http://blog.peter-b.org/2011/08/01/using-iptables-to-map-an-internal-address-to-an-external-one/



网友评论已有0条评论, 我也要评论

发表评论

*

* (保密)

Ctrl+Enter 快捷回复