static stateless 2-way NAT on Linux with iptables的應(yīng)用實(shí)例

前面幾天，我完成了1個static stateless 2-way NAT，寫了幾篇文章，但是側(cè)重于理論分析，本文來展現(xiàn)1個利用實(shí)例。在具體展現(xiàn)實(shí)例之前，先說1個static stateless 2-way NAT和Linux原生conntrack NAT的區(qū)分，static stateless 2-way NAT其實(shí)不會限制連接的數(shù)量，由于它不用保護(hù)連接狀態(tài)，也就沒有了最大值的限制，其次，如果static stateless 2-way NAT的算法更好些，它的效力會更高。在哈爾濱長春旅游的那些天，我曾想過，能不能用這類stateless的方式實(shí)現(xiàn)1個NAPT呢？后來覺得很難，由于在TCP/IP協(xié)議層面，1個特定的連接中的5元組是不能產(chǎn)生變化的(UDP協(xié)議視情況而定)，這就要求NAPT在完成5元組唯1性映照的時候需要辨認(rèn)出1個連接，這就不再是stateless了，而是stateful了，1個例子就能夠說明這類情況，假定連接A的數(shù)據(jù)包a的5元組被映照到了{(lán)sip⑴,dip⑴,tcp,sport⑴,dport⑴}，爾后這個連接斷開了，問題是如果過去很久以后又有相同5元組的TCP連接來到怎樣辦呢？解決這個問題的辦法就是為1個entry保護(hù)1個timer，這樣...這樣還不如直接用conntrack NAT呢....
       首先給出1個簡單的拓?fù)鋱D：
<client>eth0:192.168.10.1
|
|
eth0:192.168.10.254
<FWD>[NAT BOX]
eth1:192.168.184.254
|
|
eth0:192.168.184.1
<FWD>                           
eth1:192.168.1.1
|
|
<server>eth0:192.168.1.8
在上面簡單的拓?fù)渲校蚁Ｍ氖窃赾lient可以拉取1.2.1.2上的網(wǎng)頁，而1.2.1.2是映照到server上的，另外，端口由12345映照到80。這個映照是完全無狀態(tài)的，用我的static stateless 2-way NAT來完成。
       在我還沒有做好iptables接口之前，我使用procfs文件系統(tǒng)接口，那個時候還沒有dev支持，命令以下：
echo '+1.2.1.2 192.168.1.8 dst tcp port-map 12345 80 ' >/proc/net/static_nat
echo '+192.168.184.250 192.168.184.154 src tcp' >/proc/net/static_nat
后來有了更加方便的iptables接口，事情起了變化，我可以用熟習(xí)的iptables命令來配置了，仍然在nat表配置規(guī)則：
root@abcd:~# iptables-save
# Generated by iptables-save v1.4.21 on Sun Dec 28 03:23:22 2014
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1484:204554]
-A PREROUTING -j STATIC⑵-WAY-NAT --mapaddr 192.168.184.250⑴92.168.184.154 --type src --proto all --mapport 0-0 --dev eth1
-A POSTROUTING -j STATIC⑵-WAY-NAT --mapaddr 1.2.1.2⑴92.168.1.8 --type dst --proto tcp --mapport 12345⑻0 --dev eth0
COMMIT
# Completed on Sun Dec 28 03:23:22 2014
root@abcd:~#
除可以完成配置以外，我保存了1個統(tǒng)計(jì)信息，可以看出有多少個數(shù)據(jù)包和多少個字節(jié)經(jīng)歷了NAT。統(tǒng)計(jì)信息的查看方式以下：
root@abcd:~# cat /proc/net/static_nat Source trans table:
From:192.168.184.250 To:192.168.184.154    [ALL STATIC] [eth1] [Bytes:1080  Packet:23]
From:192.168.1.8     To:1.2.1.2            [TCP AUTO] Port map[From:80    To:12345] [eth0] [Bytes:124  Packet:3]

Destination trans table:
From:1.2.1.2         To:192.168.1.8        [TCP STATIC] Port map[From:12345 To:80   ] [eth0] [Bytes:180  Packet:4]
From:192.168.184.154 To:192.168.184.250    [ALL AUTO] [eth1] [Bytes:5348  Packet:90]
root@abcd:~#
展現(xiàn)統(tǒng)計(jì)信息的粒度是很重要的，固然，如果能表示都有哪些數(shù)據(jù)包經(jīng)歷了NAT并可以打印數(shù)據(jù)包的超級詳細(xì)信息，那是再好不過的了，但是那樣會損失大量的時間和空間，所以只能求取舍了。