簡述:Linux下的NAT是基于netfilter/iptables的。netfilter/iptables內核空間默認的表和鏈說明:filter表用來過濾數(shù)據(jù)包,我們可以在任何時候匹配包并過濾它們。Man
Linux下的NAT 是基于netfilter/iptables的。netfilter/iptables 內核空間默認的表和鏈說明:filter 表用來過濾數(shù)據(jù)包,我們可以在任何時候匹配包并過濾它們。Mangle不經常使用還在開發(fā)當中。我們下面主要介紹Nat表來實現(xiàn)NAT功能。
(1)用戶使用iptables命令在用戶空間設置NAT規(guī)則,通過使用用戶空間iptables命令,可以構建用戶自己的定制NAT規(guī)則。所有規(guī)則存儲在內核空間的nat表中。根據(jù)規(guī)則所處理的信息包類型,將規(guī)則分組在鏈中。要做SNAT的信息包被添加到POSTROUTING鏈中。要做DNAT的信息包被添加到PREROUTING鏈中。直接從本地出站的信息包的規(guī)則被添加到OUTPUT 鏈中。
(2)內核空間接管NAT工作
做過NAT操作的數(shù)據(jù)包的地址就被改變了,當然這種改變是根據(jù)我們的規(guī)則進行的。屬于一個流的包只會經過這個表一次。如果第一個包被允許做NAT或Masqueraded,那么余下的包都會自動地被做相同的操作。也就是說,余下的包不會再通過這個表,一個一個的被NAT,而是自動地完成。這就是我們?yōu)槭裁床粦撛谶@個表中做任何過濾的主要原因。PREROUTING 鏈的作用是在包剛剛到達防火墻時改變它的目的地址,如果需要的話。OUTPUT鏈改變本地產生的包的目的地址。圖4 是數(shù)據(jù)包穿越整個netfilter/iptables的流程圖。
(3)NAT工作步驟
DNAT:若包是被送往PREROUTING鏈的,并且匹配了規(guī)則, 則執(zhí)行DNAT或REDIRECT目標。為了使數(shù)據(jù)包得到正確路由, 必須在路由之前進行DNAT。
路由:內核檢查信息包的頭信息,尤其是信息包的目的地。
處理本地進程產生的包:對nat表OUTPUT鏈中的規(guī)則實施規(guī)則檢查, 對匹配的包執(zhí)行目標動作。
SNAT:若包是被送往POSTROUTING鏈的,并且匹配了規(guī)則, 則執(zhí)行SNAT或MASQUERADE目標。 系統(tǒng)在決定了數(shù)據(jù)包的路由之后才執(zhí)行該鏈中的規(guī)則。
本文由專業(yè)服務器托管——騰佑科技(http://mubashirfilms.com)提供。
搜索詞
熱門產品推薦