Cisco与Linux的NAT-Linux实现Cisco风格的NAT

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介:
既然看到了Cisco的NAT比较灵活,那么Linux能否实现呢?答案是肯定的!因为Linux的Netfilter是超级灵活的,Linux的NAT不灵活是因为iptables程序的不灵活,xtables-addons的RAWNAT已经朝static nat迈出了重要的一步,是iptables限制了Linux的static nat发展!于是我抛开iptables,先基于Netfilter把内核模块实现,然后用procfs作为用户接口,看看怎么实现Cisco风格的static nat。顺带说一句,之所以做这个程序,是因为我们在产品中真的遇到了这个需求,玩过SIP和FTP的都知道,然而因为工期受限,又怕自己做的这个不稳定,效率也没有优化,因此只能放在这里玩玩,不登大雅之堂。
        首先,我们看一下基本原理,我们不希望一条NAT绑定任何N元组或者说流,只是一个一对一的地址映射,以源地址转换为例,在从内到外的方向将源地址A转换为B,在从外到内的方向将源目标地址B转换为A!必须记住,任何时候,源地址转换都在POSTROUTING上来做,而目标地址转换都在PREROUTING上来做,按照上述的陈述,以下图说明: 

有了上图作为指示,我们就知道该怎么做了:
1.内核中维护一个映射表,仅仅映射两个地址;
2.在PREROUTING和POSTROUTING两个HOOK点上基于上述的映射表执行NAT动作;
3.实现一个用户接口,可以从用户态进行地址映射的配置

以上3点比较容易实现,实际上使用xtables-addons的RAWNAT其实也能实现static nat,然而要想实现两个方向的自动匹配NAT,必然要配置两条甚至多条,最蛋疼的就是明明就是一条映射,非要写成match的形式,所以还是做成Cisco风格的吧。不管怎样,下面的这个代码的实际nat部分还是使用了RAWNAT的代码!

        代码如下:

#include <linux/ip.h> #include <linux/ipv6.h> #include <linux/module.h> #include <linux/skbuff.h> #include <linux/tcp.h> #include <linux/udp.h> #include <linux/list.h> #include <linux/sysfs.h> #include <linux/fs.h> #include <linux/proc_fs.h> #include <linux/version.h> #include <linux/netfilter.h> #include <net/ip.h> #include "compat_xtables.h"  static inline __be32 remask(__be32 addr, __be32 repl, unsigned int shift) { 	uint32_t mask = (shift == 32) ? 0 : (~(uint32_t)0 >> shift); 	return htonl((ntohl(addr) & mask) | (ntohl(repl) & ~mask)); }  static void rawnat4_update_l4(struct sk_buff *skb, __be32 oldip, __be32 newip) { 	struct iphdr *iph = ip_hdr(skb); 	void *transport_hdr = (void *)iph + ip_hdrlen(skb); 	struct tcphdr *tcph; 	struct udphdr *udph; 	bool cond;  	switch (iph->protocol) { 	case IPPROTO_TCP: 		tcph = transport_hdr; 		inet_proto_csum_replace4(&tcph->check, skb, oldip, newip, true); 		break; 	case IPPROTO_UDP: 	case IPPROTO_UDPLITE: 		udph = transport_hdr; 		cond = udph->check != 0; #if LINUX_VERSION_CODE >= KERNEL_VERSION(2, 6, 19) 		cond |= skb->ip_summed == CHECKSUM_PARTIAL; #endif 		if (cond) { 			inet_proto_csum_replace4(&udph->check, skb, 				oldip, newip, true); 			if (udph->check == 0) 				udph->check = CSUM_MANGLED_0; 		} 		break; 	} }  static unsigned int rawnat4_writable_part(const struct iphdr *iph) { 	unsigned int wlen = sizeof(*iph);  	switch (iph->protocol) { 	case IPPROTO_TCP: 		wlen += sizeof(struct tcphdr); 		break; 	case IPPROTO_UDP: 		wlen += sizeof(struct udphdr); 		break; 	} 	return wlen; }  //实现源地址转换 static unsigned int rawsnat(struct sk_buff **pskb, __be32 addr) { 	struct iphdr *iph; 	__be32 new_addr;  	iph = ip_hdr(*pskb); 	new_addr = remask(iph->saddr, addr, 32); 	if (iph->saddr == new_addr) { 		return NF_ACCEPT; 	}  	if (!skb_make_writable(pskb, rawnat4_writable_part(iph))){ 		return NF_DROP; 	}  	iph = ip_hdr(*pskb); 	csum_replace4(&iph->check, iph->saddr, new_addr); 	rawnat4_update_l4(*pskb, iph->saddr, new_addr); 	iph->saddr = new_addr; 	return NF_ACCEPT; }  //实现目标地址转换 static unsigned int rawdnat(struct sk_buff **pskb, __be32 addr) { 	struct iphdr *iph; 	__be32 new_addr;  	iph = ip_hdr(*pskb); 	new_addr = remask(iph->daddr, addr, 32); 	if (iph->daddr == new_addr) 		return NF_ACCEPT;  	if (!skb_make_writable(pskb, rawnat4_writable_part(iph))) 		return NF_DROP;  	iph = ip_hdr(*pskb); 	csum_replace4(&iph->check, iph->daddr, new_addr); 	rawnat4_update_l4(*pskb, iph->daddr, new_addr); 	iph->daddr = new_addr; 	return NF_ACCEPT; }  //定义数据结构 struct addr_map { 	struct list_head list; 	__be32 addr[2]; 	int type;  //0:源地址转换;1:目标地址转换 }; //全局的map list static LIST_HEAD(map_list);  static unsigned int ipv4_static_nat_pre(unsigned int hooknum,                      struct sk_buff *skb,                      const struct net_device *in,                      const struct net_device *out,                      int (*okfn)(struct sk_buff *)) { 	__be32 new_daddr = 0x0; 	struct addr_map *map; 	const struct iphdr *iph = ip_hdr(skb); 	if (list_empty(&map_list)) { 		return NF_ACCEPT; 	} 	//查找是否需要做目标地址转换 	list_for_each_entry(map, &map_list, list) { 		if (map->addr[((map->type-1)&0x00000001)] == iph->daddr) { 			new_daddr = map->addr[map->type&0x00000001]; 			break; 		} 	} 	if (new_daddr == 0) { 		return NF_ACCEPT; 	} 	return rawdnat(&skb, new_daddr); }  static unsigned int ipv4_static_nat_post(unsigned int hooknum,                      struct sk_buff *skb,                      const struct net_device *in,                      const struct net_device *out,                      int (*okfn)(struct sk_buff *)) { 	__be32 new_saddr = 0x0; 	struct addr_map *map; 	const struct iphdr *iph = ip_hdr(skb); 	if (list_empty(&map_list)) { 		return NF_ACCEPT; 	} 	//查找是否做源地址转换 	list_for_each_entry(map, &map_list, list) { 		if (map->addr[map->type&0x00000001] == iph->saddr) { 			new_saddr = map->addr[((map->type-1)&0x00000001)]; 			break; 		} 	} 	if (new_saddr == 0) { 		return NF_ACCEPT; 	} 	return rawsnat(&skb, new_saddr); }  static struct nf_hook_ops ipv4_static_nat[] __read_mostly = {     {         .hook        = ipv4_static_nat_pre,         .owner        = THIS_MODULE,         .pf        = NFPROTO_IPV4,         .hooknum    = NF_INET_PRE_ROUTING,         .priority    = NF_IP_PRI_NAT_SRC+1,     },     {         .hook        = ipv4_static_nat_post,         .owner        = THIS_MODULE,         .pf        = NFPROTO_IPV4,         .hooknum    = NF_INET_PRE_ROUTING,         .priority    = NF_IP_PRI_RAW+1,     }, };  //以下是定义用户接口 //如果需要添加一条source转换。则: //echo +172.16.4.34-128.129.4.34 >/proc/STATIC_Nat/source struct proc_dir_entry *nat_entry = NULL;  static ssize_t write_snat(struct file *file, const char __user *buf, 				   size_t count, loff_t *ppos) { 	struct addr_map *am = NULL; 	char addr_temp[20] = {0}; 	__be32 addr1 = 0, addr2 = 0; 	int ret = count; 	int i = 1; 	for (; i < 48; i++) { 		if (buf[i] == '-') { 			memcpy(addr_temp, buf+1, i-1); 			break; 		} 	} 	addr1 = in_aton(addr_temp); 	addr2 = in_aton(buf + i + 1); 	 	if (buf[0] == '+') { 		am = kzalloc(sizeof(struct addr_map), GFP_KERNEL); 		INIT_LIST_HEAD(&am->list); 		am->addr[0] = addr1; 		am->addr[1] = addr2; 		am->type = 0; 		list_add(&am->list, &map_list); 	} else if(buf[0] == '-') { 		//Remove TODO 	} 	return ret; }  static ssize_t write_dnat(struct file *file, const char __user *buf, 				   size_t count, loff_t *ppos) { 	//TODO 	return 0; } static ssize_t read_snat(struct file *file, char __user *buf, 				   size_t count, loff_t *ppos) { 	//TODO 	return 0; } static ssize_t read_dnat(struct file *file, char __user *buf, 				   size_t count, loff_t *ppos) { 	//TODO 	return 0; }  static const struct file_operations proc_snat_operations = { 	.read		= read_snat, 	.write		= write_snat, }; static const struct file_operations proc_dnat_operations = { 	.read		= read_dnat, 	.write		= write_dnat, };  static int __init static_nat_zy_init(void) { 	int ret = 0; 	ret = nf_register_hooks(ipv4_static_nat, ARRAY_SIZE(ipv4_static_nat)); 	if (ret < 0) { 		printk("ipv4_static_nat: can't register hooks.\n"); 	} /* test */else { 		nat_entry = proc_mkdir("STATIC_Nat", NULL); 		proc_create("source", S_IWUSR, nat_entry, &proc_snat_operations); 		proc_create("destination", S_IWUSR, nat_entry, &proc_dnat_operations); 	}   		 	return ret; }  static void __exit static_nat_zy_exit(void) { 	 	remove_proc_entry("source", nat_entry); 	remove_proc_entry("destination", nat_entry); 	remove_proc_entry("STATIC_Nat", NULL); 	nf_unregister_hooks(ipv4_static_nat, ARRAY_SIZE(ipv4_static_nat)); 	return; }  module_init(static_nat_zy_init); module_exit(static_nat_zy_exit); //保留原作者 MODULE_AUTHOR("Jan Engelhardt <jengelh@medozas.de>"); MODULE_AUTHOR("wangran <marywangran@126.com>"); MODULE_DESCRIPTION("Static NAT"); MODULE_LICENSE("GPL"); 

如此就可以实现Cisoc风格的NAT了。代码的优化空间还是有很多的,比如list可以换成hash...



 本文转自 dog250 51CTO博客,原文链接:http://blog.51cto.com/dog250/1268872

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
1月前
|
网络协议 安全 网络安全
Cisco-网络端口地址转换NAPT配置
Cisco-网络端口地址转换NAPT配置
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换动态NAT
Cisco-网络地址转换动态NAT
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换静态NAT
Cisco-网络地址转换静态NAT
|
3月前
|
负载均衡 算法 Linux
在Linux中,LVS-NAT模型的特性是什么?
在Linux中,LVS-NAT模型的特性是什么?
|
3月前
|
负载均衡 算法 Linux
在Linux中,LVS-NAT模式的原理是什么?
在Linux中,LVS-NAT模式的原理是什么?
|
3月前
|
负载均衡 Linux 网络虚拟化
在Linux中,什么是NAT,常见分为那几种,DNAT与SNAT有什么不同,应用事例有那些?
在Linux中,什么是NAT,常见分为那几种,DNAT与SNAT有什么不同,应用事例有那些?
|
4月前
|
Linux 网络安全 虚拟化
Ngnix04系统环境准备-上面软件是免费版的,下面是收费版的,他更快的原因使用了epoll模型,查看当前Linux系统版本, uname -a,VMWARE建议使用NAT,PC端电脑必须使用网线连接
Ngnix04系统环境准备-上面软件是免费版的,下面是收费版的,他更快的原因使用了epoll模型,查看当前Linux系统版本, uname -a,VMWARE建议使用NAT,PC端电脑必须使用网线连接
|
5月前
|
Linux 网络安全
NAT 技术与 Linux iptables
NAT 技术与 Linux iptables
|
6月前
|
安全 网络安全 网络架构
计算机网络地址转换(NAT)
网络地址转换(NAT)允许多个主机共享一个或一组公共IP地址,同时保护内部网络的隐私和安全。NAT通常由路由器或防火墙设备执行,它充当内部网络和外部网络之间的中间人,将内部主机的私有IP地址映射到一个或多个公共IP地址上。
97 0
|
6月前
|
网络协议
地址重叠时,用户如何通过NAT访问对端IP网络?
地址重叠时,用户如何通过NAT访问对端IP网络?