Iptables NAT: реализация сетевой ретрансляции

В этой статье мы подробно рассмотрим возможности iptables NAT (преобразование сетевых адресов) и способы его использования для сетевой ретрансляции. Мы подробно объясним значение цепочек PREROUTING, POSTROUTING и OUTPUT, используемых в NAT, покажем, как настроить DNAT (преобразование адресов сети назначения) и SNAT (преобразование адресов исходной сети), а также продемонстрируем эти концепции в сценарии интрасети. Наконец, мы объясним, как сохранить конфигурацию iptables, чтобы она вступила в силу после перезапуска.

1. Iptables и NAT

iptables — один из наиболее часто используемых инструментов брандмауэра в системах Linux. Он управляет и обрабатывает пакеты через четыре разные таблицы и использует пять цепочек для обработки и пересылки пакетов:

Фильтрповерхность(фильтр)

• Цепочка INPUT: контролирует, принимаются или отклоняются пакеты данных, поступающие в машину.
• Цепочка FORWARD: контролирует, принимаются или отклоняются пакеты, пересылаемые через этот компьютер.
• Цепочка OUTPUT: контролирует, принимаются или отклоняются пакеты данных, отправленные с этого компьютера.

Таблица NAT (нат)

• Цепочка PREROUTING: используется для изменения IP-адреса назначения (DNAT) или других характеристик до того, как пакет данных попадет в машину.
• Цепочка POSTROUTING: используется для изменения исходного IP-адреса (SNAT) или других характеристик перед тем, как пакет покинет машину.

Отсутствует поверхность (отсутствует)

• Цепочка PREROUTING: используется для изменения характеристик пакета данных до того, как пакет данных попадет в машину.
• Цепочка INPUT: используется для изменения характеристик пакета данных после его поступления в машину.
• Цепочка FORWARD: используется для изменения характеристик пакета данных при его пересылке через машину.
• Цепочка OUTPUT: используется для изменения характеристик пакета данных перед его отправкой с машины.
• Цепочка POSTROUTING: характеристики, используемые для изменения пакетов перед тем, как они покинут хост.

Сыройповерхность (сырой)

• Цепочка PREROUTING: используется для необработанной обработки пакетов перед вводом в другие таблицы, обычно используется для установки правил отслеживания соединений.

NAT — это основная функция в iptables, в основном включающая преобразование адресов источника (SNAT) и преобразование адресов назначения (DNAT). В функции NAT iptables в основном задействованы три цепочки:

• ПРЕДВАРИТЕЛЬНАЯ ЦЕПЬ
• ПОСТРАУТИНГовая цепочка.
• Цепочка ВПЕРЕД.

2. Настройте ДНКАТ

Предположим, мы хотим перенаправить весь TCP-трафик, идущий на порт 80 этого компьютера (публичный IP-адрес), на порт 80 другого сервера с общедоступным IP-адресом (8.209.1.81). Этого требования можно добиться, настроив DNAT:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 8.209.1.81:80

3. Настройте SNAT

Трансляция сетевых адресов (NAT) преобразует частные IP-адреса в частной сети в общедоступные IP-адреса для подключения к Интернету. Во время этого процесса NAT изменит IP-адрес источника или IP-адрес назначения пакета данных. При обработке исходящего трафика используйте преобразование адресов исходной сети (SNAT).

При работе со средой интрасети нам необходим SNAT для использования IP-адреса интрасети, поскольку он позволяет компьютерам в интрасети получать доступ к Интернету через общий общедоступный IP-адрес. Если мы используем общедоступный IP-адрес в качестве адреса SNAT, то пользователи интрасети не смогут получить доступ к услугам, предоставляемым SNAT, поскольку они не могут напрямую получить доступ к общедоступному IP-адресу. Таким образом, использование IP-адреса интрасети для SNAT является ключом к реализации передачи внутри сети.

Например, мы можем использовать следующую команду для реализации SNAT:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.1

В этой команде:

• -t natЭто означает, что мы хотим действоватьNATповерхность。
• -A POSTROUTINGДа, чтобыPOSTROUTINGДобавить новое правило в цепочку。
• -o eth0Да, это правило указано только для экспорта, посколькуeth0Пакет работает.。
• -j SNATОн указывает, что действие, которое мы хотим выполнить, — это преобразование адреса источника.（SNAT）。
• --to-source 192.168.1.1это указать новый источникIPадрес。

4. Включите переадресацию IP-адресов Linux.

Чтобы iptables правильно выполнял переадресацию NAT,нам нужно включитьLinuxизIP-переадресация Функция。Это можно изменить с помощью/etc/sysctl.confдокумент,И добавьте следующие строки для достижения:

net.ipv4.ip_forward = 1

Затем,бегатьsysctl -pкоманда, чтобы изменения вступили в силу。

5. Сохранение конфигурации iptables

Чтобы гарантировать, что правила iptables по-прежнему вступят в силу после перезапуска.,Нам нужно сохранить правила。Это можно сделать с помощьюiptables-saveиiptables-restoreкоманда сохранения правили Реализация реставрации。

6. Просмотр правил iptables

мы можем использоватьiptables -t nat -L -n -vПредставление командnatповерхностьизправило。-Lповерхность Показать правила,-nповерхность Отображается в цифровом видеадресипорт,-vповерхность Показать подробный вывод。

sudo iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8005 to:8.209.1.81:80

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            8.209.1.81           tcp dpt:8005 to:192.168.1.1

Подвести итог

Выше приведено подробное объяснение всего процесса реализации сетевой передачи с использованием iptables NAT. На реальных примерах сценариев внутренней сети мы объяснили, как настроить DNAT и SNAT и как сделать конфигурацию постоянной. Надеюсь, это руководство поможет вам лучше понять, как работают iptables и NAT. Если у вас есть вопросы, смело задавайте их в комментариях.