2、Nat
NAT(Network Address Translation),网络地址翻译。
2、1 SNAT
使用在这样一个场景中,通常情况下我们无论是在公司、学校内部计算机的ip地址都是一个内网地址,为了和外网的计算机通信我们必须链接到网关或者路由器,而网关和路由器必须对我们发出去的数据包的原地址翻译为一个网关或路由器的公网地址,然后再将此包送到公网中,这样的地址翻译叫SNAT。
SNAT如果时防火墙转发的包在前文中发生在图1-2的prerouting链里。
2、2 DNAT
当我们的che业务服务器搭建在公司内部网络上(其公司网络ip地址为10.74.30.15),还有一个ftp服务器(ip地址为10.74.30.16),两台服务器都接上防火墙,而我们在公网上申请一个公网IP地址(为11.11.2.3)。当外部用户访问我们Che
业务时,他试图访问11.11.2.3:8080 ,当另外一个外网用户试图访问我们的ftp服务器时他访问11.11.2.3:21. 防火墙必须将发送往11.11.2.3:8080的数据包的dst ip转换为che服务器的内网ip;将发网11.11.2.3:21的数据包dst ip转换为ftp服务器内网ip 10.74.30.16;并把这些数据包转发到内网上。如此防火墙就进行了dnat。
DNAT发生在防火墙的pretrouting链里。很少情况下也可以发生在output里
2、3 hairpin模式
在上述DNAT场景中,假设同事陈xx知道我们搭建的che业务服务器公网IP地址,他想在公司电脑上(10.74.30.2)通过这个服务器公网ip地址访问che业务服务器。假设防火墙内网ip10.74.30.1会出现下面的场景
step1
src:10.74.30.2 dst:11.11.2.3:8080 报文发送到防火墙(路由器)
step2:
防火墙根据我们配置的DNAT规则将保报文转换为:
src:10.74.30.2 dst:10.74.30.15:8080 并把报文再发到公司内网中。
step3:
che服务器收到了来自陈xx同学的报文,然后响应此报文,因为此时Che服务器发现陈xx同学的报文来自于内网的计算机,所以它直接会送如下响应报文给陈xx同学(不再通过防火墙)
src:10.74.30.15:8080 dst:10.74.30.2
step4:
响应报文来到陈xx的机器里。此时陈xx同学的电脑防火墙发现自己的没有给10.74.30.15发送过数据包,所以这个包被防火墙拦截掉。而陈xx同学发现自己此时无法通过公网ip访问che服务器。
为了解决这样的问题,防火墙设定了hairpin模式。此种模式下,首先DNat规则还是和前文一样;接着设定一个如下规则:凡是来自于内网的包,同时目的地址又是我们转换后的内网IP地址,需要做SNAT,将包源地址设置为防火墙的公网地址iptables -t nat -A Postrouting -p tcp -s 10.74.30.0/24 --dst 10.74.30.15 --dport 8080 -j
SNAT --to-source 10.74.30.1(当然也可以设置简单一点——省去-s 10.74.30.0/24)。
当此规则生效以后从step2开始变化如下
step2
防火墙将来自陈xx同学发往che公网ip的包转换为:
src:10.74.30.1 dst 10.74.30.15:8080发送到内网给che服务器
step3、
che服务器回复
src:10.74.30.15:8080 dst:10.74.30.1 报文发送到内网到达防火墙。
step4、
防火墙根据上述设置的规则,识别到此回复包是以前链接的一部分,将snat和dnat转换逆过程:
src:11.11.2.3 :8080 dst:10.74.30.2并发报文发送到内网,陈xx同学的计算机收到此报文后,防火墙认识是自己建立的链接的包,放行。最终陈同学能够在公司内部通过公网访问che服务器了。
2.4 防火墙访问
还是上述场景,假设陈xx同学不甘心,跑到防火墙所在的计算机上去访问che的公网ip地址。这种情况下,他将访问到防火墙自己的8080端口的服务。如果他需要在防火墙上通过公网地址访问che服务,那么他需要在防火墙的output链上做动作:
iptables -t nat -A OUTPUT -d 11.11.2.3 -dport 8080 -j NAT --to-destination 10.74.30.15