【docker】iptables实现NAT

news2024/11/16 13:46:24

iptables是一个Linux内核中的防火墙工具,可以被用来执行各种网络相关的任务,如过滤、NAT和端口转发等,可以监控、过滤和重定向网络流量。

iptables可以用于以下应用场景:

  1. 网络安全:iptables可以过滤网络流量,防止未经授权的访问和攻击。
  2. 网络管理:iptables可以限制网络带宽,控制网络流量,保证网络的稳定性和可靠性。
  3. 网络服务:iptables可以重定向网络流量,实现端口转发和负载均衡等功能。
  4. 网络监控:iptables可以记录网络流量,分析网络状况,提供网络性能和安全的监控和管理。

iptables实现SNAT和DNAT

主机规划:

  • host1:172.28.3.208/20
  • host2:172.28.15.169/20

原始网络模式

一开始,host1和host2都是通过网关gateway进行对外通讯。

原始网络模式如下:

在host2上可以访问百度:

$ ping www.baidu.com -c 3
PING www.wshifen.com (104.193.88.77) 56(84) bytes of data.
64 bytes from 104.193.88.77: icmp_seq=1 ttl=49 time=179 ms
64 bytes from 104.193.88.77: icmp_seq=2 ttl=49 time=173 ms
64 bytes from 104.193.88.77: icmp_seq=3 ttl=49 time=173 ms

--- www.wshifen.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 3036ms
rtt min/avg/max/mdev = 173.674/175.795/179.824/2.870 ms

SNAT

SNAT是source network address translation的缩写即源地址目标转换。

比如,多个PC机使用路由器共享上网,每个PC机都配置了内网IP。PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip。当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip。

这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了。所以叫做SNAT,基于源地址的地址转换。

现将host1作为host2的网关,在host1上进行SNAT转换,实现host2可以访问外网。

修改host2的默认网关

修改host2的默认网关为host1:

$ sudo ip route delete default
$ sudo ip route add default via 172.28.3.208 dev eth0
$ sudo ip route delete 172.28.0.1
$ sudo ip route delete 172.28.0.0/20

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.28.3.208  0.0.0.0         UG    0      0        0 eth0

此时在host2尝试访问百度,发现已经无法访问外部网络:

$ ping www.baidu.com -c 3
ping: www.baidu.com: Temporary failure in name resolution

host1开启转发能力

在host1开启转发能力,Linux的IP Forwarding功能并不是默认开启的,可以采用下面的方法开启:

// 没有持久化,临时修改
$ sudo -i

# echo 1 >/proc/sys/net/ipv4/ip_forward

上面的方式只是临时开启转发能力,重启之后配置就会被重置,如果想永久修改可以在/etc/sysctl.conf下增加如下内容:

net.ipv4.ip_forward=1

然后使用sysctl -p重新加载配置文件:

$ sysctl -p /etc/sysctl.conf

host1配置SNAT规则

在host1上配置如下规则:

$ iptables -t nat -A POSTROUTING -s 172.28.15.169 -j SNAT --to-source 172.28.3.208

此时再去host2上访问百度,发现已经可以访问外部网络了:

$ ping www.baidu.com -c 3
PING www.wshifen.com (104.193.88.77) 56(84) bytes of data.
64 bytes from 104.193.88.77: icmp_seq=1 ttl=48 time=174 ms
64 bytes from 104.193.88.77: icmp_seq=2 ttl=48 time=174 ms
64 bytes from 104.193.88.77: icmp_seq=3 ttl=48 time=174 ms

--- www.wshifen.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2583ms
rtt min/avg/max/mdev = 174.052/174.397/174.846/0.585 ms

SNAT和MASQUERADE的区别

MASQUERADE是SNAT的一个特例。

SNAT是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机。

MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE。

但使用SNAT的时候,出口ip的地址范围可以是一个,也可以是多个,例如如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT –to-source 192.168.5.3

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT –to-source 192.168.5.3-192.168.5.5

这就是SNAT的使用方法,即可以NAT成一个地址,也可以NAT成多个地址,但是,对于SNAT,不管是几个地址,必须明确的指定要SNAT的ip。

假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口ip192.168.5.3都会改变,而且改变的幅度很大,不一定是192.168.5.3到192.168.5.5范围内的地址,这个时候如果按照现在的方式来配置iptables就会出现问题了。

因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的,每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip,这样是非常不好用的。

MASQUERADE就是针对这种场景而设计的,他的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT。

比如下边的命令:

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

如此配置的话,不用指定SNAT的目标ip了,不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去,这样就实现了很好的动态SNAT地址转换。

注:对于MASQUERADE,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、PPPOE、SLIP等拨号得到的地址,这些地址可是由ISP的DHCP随机分配的。

DNAT

假设现在host2上了运行了一个端口在8080的web服务,但是没有外网ip,无法在外部直接访问host2的web服务,但是host1上有外网ip,可以通过DNAT将访问host1的8080端口的请求转发到host2的8080端口。

在host2上运行一个web服务:

$ sudo docker run -d --rm -p 8080:80 --name web httpd
9c9a499ce0e566e1a5897d81a21d6d97d8925ef25066f901e9d41de22bd2f0c5

$ curl localhost:8080
<html><body><h1>It works!</h1></body></html>

在host1上配置DNAT:

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 172.28.15.169

此时再去其他机器上访问host1的8080端口,发现流量已经转发到host1的8080端口了:

$ curl 172.28.3.208:8080
<html><body><h1>It works!</h1></body></html>

SNAT和DNAT的区别

SNAT是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机。

DNAT,就是指数据包从网卡发送出去的时候,修改数据包中的目的IP,表现为如果你想访问A,可是因为网关做了DNAT,把所有访问A的数据包的目的IP全部修改为B,那么,你实际上访问的是B。

因为,路由是按照目的地址来选择的,因此,DNAT是在PREROUTING链上来进行的,而SNAT是在数据包发送出去的时候才进行,因此是在POSTROUTING链上进行的。

iptables记录网络流量

为了方便调试,我们可以在raw的PREROUTING链上增加trace规则:

sudo iptables -t raw -I PREROUTING -p tcp --dport 8080 -j TRACE
sudo iptables -t raw -I PREROUTING -p tcp --sport 8080 -j TRACE

使用dmesg命令来查看日志

// 先清空下日志
$ dmesg -C

// 下面是curl 172.28.3.208:8080的部分日志
$ dmesg
[13428.991593] TRACE: raw:PREROUTING:policy:3 IN=eth0 OUT= MAC=00:15:5d:70:01:10:00:15:5d:cc:04:f5:08:00 SRC=172.28.0.1 DST=172.28.3.208 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=32326 DF PROTO=TCP SPT=63368 DPT=8080 SEQ=94812980 ACK=2940281795 WINDOW=0 RES=0x00 ACK RST URGP=0
[13428.991675] TRACE: mangle:PREROUTING:policy:1 IN=eth0 OUT= MAC=00:15:5d:70:01:10:00:15:5d:cc:04:f5:08:00 SRC=172.28.0.1 DST=172.28.3.208 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=32326 DF PROTO=TCP SPT=63368 DPT=8080 SEQ=94812980 ACK=2940281795 WINDOW=0 RES=0x00 ACK RST URGP=0
[13428.991697] TRACE: mangle:INPUT:policy:1 IN=eth0 OUT= MAC=00:15:5d:70:01:10:00:15:5d:cc:04:f5:08:00 SRC=172.28.0.1 DST=172.28.3.208 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=32326 DF PROTO=TCP SPT=63368 DPT=8080 SEQ=94812980 ACK=2940281795 WINDOW=0 RES=0x00 ACK RST URGP=0
。。。。。。

查看/var/log/messages日志

直接查看系统日志文件/var/log/messages时会提示说没有这个文件或目录。

原因是Ubuntu默认不开启系统日志,配置文件/etc/rsyslog.d/50-default.conf中系统日志那段的代码默认是被注释掉的:

#*.=info;*.=notice;*.=warn;\
#        auth,authpriv.none;\
#        cron,daemon.none;\
#        mail,news.none          -/var/log/messages

我们只要将这4行前面的注释#去除即可。

然后需要重启rsyslog服务:

$ sudo service rsyslog restart

最后就可以查看/var/log/messages文件中的日志了。

会话跟踪

疑问:当host2给host1返回时,目标ip为host1,我们也没有配置什么NAT规则,把目标ip改成客户端的ip,那么,服务器为啥不是把报文交给host1的进程处理,而是原路forward转发呢?

这个其实还是因为NAT依赖了netfilter的会话跟踪功能,简单来说,netfilter是有状态的,以tcp举例,tcp连接的建立是因为客户端ip:客户端端口和服务端ip:服务端端口,这个四元组是有来有回的,就是我给你发了消息,你也回我了,此时,netfilter就认为这是一个会话。

所以,在host2给host1返回时,host1拿着四元组去查,查到有会话,因此,就按照之前的路径原路回来。

另外,nat这个table里的链,只在检测到之前不存在会话时,才会进,后续就不会再进了;也就是只有首次报文的时候进nat的链。

像上面这个案例,只要执行如下命令,关闭会话跟踪,就执行不成功了:

sudo iptables -t raw -I PREROUTING -p tcp --dport 8080 -j NOTRACK

可以安装conntrack工具来查看会话。

sudo apt-get install conntrack

使用conntrack -L命令来查看会话

$ conntrack -L
tcp      6 431997 ESTABLISHED src=172.28.0.1 dst=172.28.3.208 sport=65499 dport=8080 src=172.28.15.169 dst=172.28.0.1 sport=8080 dport=65499 [ASSURED] mark=0 use=1
tcp      6 300 ESTABLISHED src=172.28.0.1 dst=172.28.3.208 sport=54422 dport=22 src=172.28.3.208 dst=172.28.0.1 sport=22 dport=54422 [ASSURED] mark=0 use=1
conntrack v1.4.4 (conntrack-tools): 2 flow entries have been shown.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1222872.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

吉林省土木建筑学会建筑电气分会及吉林省建筑电气情报网学术交流年会-安科瑞 蒋静

11月9-10日&#xff0c;吉林省土木建筑学会建筑电气分会及吉林省建筑电气情报网学术交流年会在吉林长春隆重举办。安科瑞电气股份有限公司作为智慧用电产品供应商受邀参会&#xff0c;为参会人士展示了安科瑞能源物联网云平台、电力运维云平台、智慧消防云平台、预付费管理云平…

22款奔驰S450L升级流星雨大灯 感受最高配的数字大灯

“流星雨”数字大灯&#xff0c;极具辨识度&#xff0c;通过260万像素的数字微镜技术&#xff0c;实现“流星雨”仪式感与高度精确的光束分布&#xff1b;在远光灯模式下&#xff0c;光束精准度更达之前84颗LED照明的100倍&#xff0c;更新增坡道照明功能&#xff0c;可根据导航…

[开源]基于 AI 大语言模型 API 实现的 AI 助手全套开源解决方案

原文&#xff1a;[开源]基于 AI 大语言模型 API 实现的 AI 助手全套开源解决方案 一飞开源&#xff0c;介绍创意、新奇、有趣、实用的开源应用、系统、软件、硬件及技术&#xff0c;一个探索、发现、分享、使用与互动交流的开源技术社区平台。致力于打造活力开源社区&#xff0…

java线性并发编程介绍-锁(二)

2.5 重量锁底层ObjectMonitor 需要去找到openjdk&#xff0c;在百度中直接搜索openjdk&#xff0c;第一个链接就是 找到ObjectMonitor的两个文件&#xff0c;hpp&#xff0c;cpp 先查看核心属性&#xff1a;http://hg.openjdk.java.net/jdk8u/jdk8u/hotspot/file/69087d08d473…

吴恩达《机器学习》9-1:代价函数

一、引入新标记方法 首先&#xff0c;引入一些新的标记方法&#xff0c;以便更好地讨论神经网络的代价函数。考虑神经网络的训练样本&#xff0c;其中每个样本包含输入 x 和输出信号 y。我们用 L 表示神经网络的层数&#xff0c;表示每层的神经元个数&#xff08;表示输出层神…

数据结构与算法面试题——C++

自己在秋招过程中遇到的数据结构与算法方面的面试题 数据结构 vector vector是⼀种序列式容器&#xff0c;与array唯⼀差别就是对于空间运⽤的灵活性 array占⽤的是静态空间&#xff0c;⼀旦配置了就不可以改变⼤⼩&#xff0c;如果遇到空间不⾜的情况还要⾃⾏创建更⼤的空间…

处理BOP数据集,将其和COCO数据集结合

处理BOP数据集&#xff0c;将其和COCO数据集结合 BOP 取消映射关系&#xff0c;并自增80 取消文件名的images前缀 import os import json from tqdm import tqdm import argparseparser argparse.ArgumentParser() parser.add_argument(--json_path, defaultH:/Dataset/COCO…

Ghidra逆向工具配置 MacOS 的启动台显示(Python)

写在前面 通过 ghidra 工具, 但是只能用命令行启动, 不太舒服, 写个脚本生成 MacOS 的 app 格式并导入启动台. 不算复杂, 主要是解析包的一些元信息还有裁剪软件图标(通过 MacOS 自带的 API) 脚本 #!/opt/homebrew/bin/python3import os import re import subprocess as sp…

《Linux从练气到飞升》No.31 多线程编程实践与线程安全技术

&#x1f57a;作者&#xff1a; 主页 我的专栏C语言从0到1探秘C数据结构从0到1探秘Linux菜鸟刷题集 &#x1f618;欢迎关注&#xff1a;&#x1f44d;点赞&#x1f64c;收藏✍️留言 &#x1f3c7;码字不易&#xff0c;你的&#x1f44d;点赞&#x1f64c;收藏❤️关注对我真的…

计算机科学速成课

建议看看计算机科学速成课&#xff0c;一门很全面的计算机原理入门课程&#xff0c;短短10分钟可以把大学老师十几节课讲的东西讲清楚&#xff01;整个系列一共41个视频&#xff0c;B站上有中文字幕版。 每个视频都是一个特定的主题&#xff0c;例如软件工程、人工智能、操作系…

6.7二叉树的最小深度(LC111)

审题要清楚&#xff1a; 最小深度是从根节点到最近叶子节点的最短路径上的节点数量。注意是叶子节点&#xff08;左右孩子都为空的节点才是叶子节点&#xff01;&#xff09;。 算法&#xff1a; 既可以求最小高度&#xff0c;也可以直接求深度。 最小高度&#xff1a; 后序…

四、程序员指南:数据平面开发套件

REORDER LIBRARY 重排序库提供了根据其序列号对mbuf进行重排序的机制。 16.1 操作 重排序库本质上是一个对mbuf进行重新排序的缓冲区。用户将乱序的mbuf插入重排序缓冲区&#xff0c;并从中提取顺序正确的mbuf。 在任何给定时刻&#xff0c;重排序缓冲区包含其序列号位于序列…

如何在远程协同视频会议中确保安全性?

随着远程工作的普及&#xff0c;远程协同视频会议已成为企业和团队之间进行交流和协作的重要工具。与此同时&#xff0c;会议中的安全性问题也日益凸显。本文将介绍如何在远程协同视频会议中确保安全性&#xff0c;主要包括以下方面&#xff1a; 1、内网部署 将会议服务器部署…

AD教程 (十八)导入常见报错解决办法(unkonw pin及绿色报错等)

AD教程 &#xff08;十八&#xff09;导入常见报错解决办法&#xff08;unkonw pin及绿色报错等&#xff09; 常见报错解决办法 绿色报错 可以先按TM&#xff0c;复位错位标识绿色报错原因一般是由于规则冲突的原因&#xff0c;和规则冲突就会报错 点击工具&#xff0c;设计…

3D应用开发引擎HOOPS如何促进AEC数字化架构革新?

随着科技的不断发展&#xff0c;建筑、工程和施工&#xff08;AEC&#xff09;行业正在掀起令人瞩目的数字化转型浪潮。在这一变革的过程中&#xff0c;Tech Soft 3D的HOOPS SDK&#xff08;软件开发工具包&#xff09;正扮演着关键的角色&#xff0c;为构建世界一流的AEC和BIM…

【HarmonyOS开发】设备调试避坑指南

备注&#xff1a;通过开发验证&#xff0c;发现每个设备调试都会存在不小的差别&#xff0c;开发验证需要注意~ 1、预览器调试&#xff08;只能预览具有Entry修饰的文件&#xff09; 修改文件&#xff0c;预览器将自动刷新 注意&#xff1a;当我们只修改了Component 组件的文件…

探索亚马逊大语言模型:开启人工智能时代的语言创作新篇章

文章目录 前言一、大语言模型是什么&#xff1f;应用范围 二、Amazon Bedrock总结 前言 想必大家在ChatGPT的突然兴起&#xff0c;大家多多少少都会有各种各样的问题&#xff0c;比如&#xff1a;大语言模型和生成式AI有什么关系呢&#xff1f;大语言模型为什么这么火&#xf…

python3-- Pillow10 ‘FreeTypeFont‘ object has no attribute ‘getsize‘报错解决

文章目录 一、问题二. 解决方法&#xff1a;1.方法12.方法2 三. 总结 一、问题 使用pillow10进行图片文字合成时获取文字大小失败 AttributeError: FreeTypeFont object has no attribute getsize二. 解决方法&#xff1a; 1.方法1 降级Pillow pip install Pillow9.5.0再去…

嵌入式QTGit面试题

自己在秋招过程中遇到的QT和嵌入式和Git相关的面试题&#xff0c;因为比较少就一起放了 QT connect第5个参数是什么&#xff1f; Qt::AutoConnection&#xff1a; 默认值&#xff0c;使用这个值则连接类型会在信号发送时决定。 如果接收者和发送者在同一个线程&#xff0c;则…

【DataV可视化工具详解】

文章目录 前言一、什么是DataV&#xff1f;二、主要特点1. 强大的图表库2. 灵活的数据接入3.实时数据展示4. 易于定制的仪表盘 三、应用场景1.业务监控与分析2.大屏展示3.数据洞察与决策支持 四、例图总结我是将军&#xff0c;我一直都在&#xff0c;。&#xff01; 前言 今天…