场景描述
image.png
- 如上图,一共有三台服务器,从client访问nat服务器上的8889端口,实际上通过NAT服务器里的逻辑
做DNAT之后,转发到了server服务器,最后访问server上的15006端口。 - NAT服务器有很多种方法可以做到DNAT, 其中可以通过iptables规则配置,也可以通过XDP ebpf程序来做到DNAT
iptables DNAT
阅读以下流程需要先了解iptables是如何使用的
配置规则
1.清除iptables中的其他干扰记录
$ iptables -F
$ iptables -t nat -F
$ iptables -X
2.配置iptables的DNAT规则
$ iptables -t nat -A PREROUTING -i eth0 -d 192.xxx.xx.114 -p tcp --dport 8889 -j DNAT --to 192.xxx.xx.113:15006
该条规则的意思是,在PREROUTING链中加一条规则,作用于eth0网卡,劫持IP为192.xxx.xx.114,端口号为8889的的流量,重定向到192.xxx.xx.113的15006端口
3.配置SNAT规则
$ iptables -t nat -A POSTROUTING -d 192.xxx.xx.113 -p tcp --dport 15006 -j SNAT --to-source 192.xxx.xx.114
- 该条规则的作用是,为了让client跟server能正常连接
- 因为clent是直接与NAT服务器,所以client并不认识server服务,需要把来自server(192.xxx.xx.113:15006端口)的流量,源地址改成nat(192.xxx.xx.114), 这样client就能认识并且正常通信了
具体可以参考文章
how-to-do-the-port-forwarding-from-one-ip-to-another-ip-in-same-network
xdp DNAT
阅读以下流程需要先了解一下什么是XDP,以及什么是ebpf/bpf
源码
https://github.com/Netronome/bpf-samples/blob/master/nat/nat_kern.c
编译代码
$make
$ ls
demo Makefile nat nat_common.h nat_kern.c nat_kern.ll nat_kern.o nat_user.c README.rst
会发现生成了nat_kern.o文件以及nat可执行程序
规则配置
$ ./nat -i eth0 -S load nat_prog&
$ ./nat mapfill nat_prog key_daddr 192.xxx.xx.114 key_dport 8889 val_saddr 192.xxx.xx.114 val_daddr 192.xxx.xx.113 val_dport 15006 val_dmac 52:xx:xx:xx:xx:3c aggressive_reap 0
