通过一段时间的学习,我发现目前尚未有公开的技术实现NAPT的动态配置,仅仅通过iptables实现一些固定的配置无法满足动态配置的需求。因此,本系列博客目的在于通过对Netfilter和Iptables的学习,通过内核编程实现Full Cone, Restricted Cone, Port Restricted Cone和Symmetric NAPT的配置。
介绍iptables和Netfilter的文献资料相当的多,随便一搜就可以搜到一堆详细的资料。在这里我仅仅简单介绍下iptables和Netfilter,重点在于介绍二者的关系以及如何运用。
首先,我们要明白iptables位于用户空间,而Netfilter属于Linux内核,是目前常用的网络框架。在此由上图说明iptables和Netfilter的位置。iptables和Netfilter的关系其实更像是一种为了方便人们使用Netfilter而设计的一套方便的在用户空间调用的API接口。通过getlongopt()设计了一整套API,人们使用的时候只需要在命令行输入相应的iptables命令,即可转化为一套通信“语言”实现用户空间和内核的通信从而实现我们需要的配置,即操纵Netfilter。
也就是说,iptbles只是一种官方设计的方便我们使用Netfilter的用户空间命令行,而不是必须使用的。如果有必要,我们完全可以自己定义一套自己的API命令行。比如NiuBiIptables BALABALA。。。。但是,iptables还是相当好用的,功能很全面而且支持扩展。因此不是迫不得已完全没有这个必要。我们实现NAT的动态配置也仅仅只是做了iptables的扩展,在Netfilter中实现新的功能,在iptables设计新的功能的扩展API方便调用。在后来自己写着玩的时候做了个类似于tc的扰流工具,又花了些时间做了基于Netfilter的内核网络流浪探测工具(实现功能类似于Iperf)。这些由于不方便使用Iptables我就自己只做了一些简单的工具,而不是使用Iptabes。这些属于后话,不是本文的核心。
因此,为实现NAT类型动态配置,我们需要做以下工作:
(1)扩展iptables命令,添加新的命令操纵NAT类型配置
(2)内核编程,添加NAT类型配置模块
在这里,安利一波Source Insight,看源码非常好用。iptables和Netfilter的代码位于不同的位置。本文的配置最终在Openwrt上实现,代码来源于Openwrt的源码,其中iptables位于,Netfilter位于。当然在Ubuntu等Linux系统中也是肯定有的,其中Ubuntu14.04kylin的位置分别在。下文中对于Iptables和Netfilter的源码分析会再给出地址。
为了方便理解,先举个例子说明整个iptables到Netfilter的流程:
比如说,我们配置一条端口限制型锥型的规则,让NAT变成端口限制型锥型。
首先,我们在命令行或脚本输入
iptables -t nat -A POSTROUTING -j MASQUERADE
这条命令中,-t nat指定了配置规则在NAT表,-A POSTROUTING指定了添加(ADD)在POSTROUTING点,-j MASQUERADE表明添加的规则为端口限制型。这些命令具体用法可以查看相应资料,不是本文重点。
输入命令后,该命令被iptables中的getlongopt分析并调用相应API,之后通过内核和用户空间通信将已有规则拷贝过来,再根据我们配置的新规则进行修改,然后将全部规则回传给内核空间。内核空间中Netfilter收到规则即激活对应代码。MASQUERADE的对应为ipt_MASQUERADE,该程序调用的API在对应的nf_nat_MASQUERADE中。由此实现了整个流程。
具体的代码分析在第二讲中继续进行分析。