Linux实现Cisco风格的NAT

既然看到了Cisco的NAT比较灵活,那么Linux能否实现呢?答案是肯定的!因为Linux的Netfilter是超级灵活的,Linux的NAT不灵活是因为iptables程序的不灵活,xtables-addons的RAWNAT已经朝static nat迈出了重要的一步,是iptables限制了Linux的static nat发展!于是我抛开iptables,先基于Netfilter把内核模块实现,然后用procfs作为用户接口,看看怎么实现Cisco风格的static nat。顺带说一句,之所以做这个程序,是因为我们在产品中真的遇到了这个需求,玩过SIP和FTP的都知道,然而因为工期受限,又怕自己做的这个不稳定,效率也没有优化,因此只能放在这里玩玩,不登大雅之堂。
首先,我们看一下基本原理,我们不希望一条NAT绑定任何N元组或者说流,只是一个一对一的地址映射,以源地址转换为例,在从内到外的方向将源地址A转换为B,在从外到内的方向将源目标地址B转换为A!必须记住,任何时候,源地址转换都在POSTROUTING上来做,而目标地址转换都在PREROUTING上来做,按照上述的陈述,以下图说明:

Linux实现Cisco风格的NAT


有了上图作为指示,我们就知道该怎么做了:
1.内核中维护一个映射表,仅仅映射两个地址;
2.在PREROUTING和POSTROUTING两个HOOK点上基于上述的映射表执行NAT动作;
3.实现一个用户接口,可以从用户态进行地址映射的配置

以上3点比较容易实现,实际上使用xtables-addons的RAWNAT其实也能实现static nat,然而要想实现两个方向的自动匹配NAT,必然要配置两条甚至多条,最蛋疼的就是明明就是一条映射,非要写成match的形式,所以还是做成Cisco风格的吧。不管怎样,下面的这个代码的实际nat部分还是使用了RAWNAT的代码!

代码如下:

#include <linux/ip.h>
#include <linux/ipv6.h>
#include <linux/module.h>
#include <linux/skbuff.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <linux/list.h>
#include <linux/sysfs.h>
#include <linux/fs.h>
#include <linux/proc_fs.h>
#include <linux/version.h>
#include <linux/netfilter.h>
#include <net/ip.h>
#include "compat_xtables.h"

static inline __be32
remask(__be32 addr, __be32 repl, unsigned int shift)
{
 uint32_t mask = (shift == 32) ? 0 : (~(uint32_t)0 >> shift);
 return htonl((ntohl(addr) & mask) | (ntohl(repl) & ~mask));
}

static void rawnat4_update_l4(struct sk_buff *skb, __be32 oldip, __be32 newip)
{
 struct iphdr *iph = ip_hdr(skb);
 void *transport_hdr = (void *)iph + ip_hdrlen(skb);
 struct tcphdr *tcph;
 struct udphdr *udph;
 bool cond;

switch (iph->protocol) {
 case IPPROTO_TCP:
  tcph = transport_hdr;
  inet_proto_csum_replace4(&tcph->check, skb, oldip, newip, true);
  break;
 case IPPROTO_UDP:
 case IPPROTO_UDPLITE:
  udph = transport_hdr;
  cond = udph->check != 0;
#if LINUX_VERSION_CODE >= KERNEL_VERSION(2, 6, 19)
  cond |= skb->ip_summed == CHECKSUM_PARTIAL;
#endif
  if (cond) {
   inet_proto_csum_replace4(&udph->check, skb,
    oldip, newip, true);
   if (udph->check == 0)
    udph->check = CSUM_MANGLED_0;
  }
  break;
 }
}

static unsigned int rawnat4_writable_part(const struct iphdr *iph)
{
 unsigned int wlen = sizeof(*iph);

switch (iph->protocol) {
 case IPPROTO_TCP:
  wlen += sizeof(struct tcphdr);
  break;
 case IPPROTO_UDP:
  wlen += sizeof(struct udphdr);
  break;
 }
 return wlen;
}

//实现源地址转换
static unsigned int
rawsnat(struct sk_buff **pskb, __be32 addr)
{
 struct iphdr *iph;
 __be32 new_addr;

iph = ip_hdr(*pskb);
 new_addr = remask(iph->saddr, addr, 32);
 if (iph->saddr == new_addr) {
  return NF_ACCEPT;
 }

if (!skb_make_writable(pskb, rawnat4_writable_part(iph))){
  return NF_DROP;
 }

iph = ip_hdr(*pskb);
 csum_replace4(&iph->check, iph->saddr, new_addr);
 rawnat4_update_l4(*pskb, iph->saddr, new_addr);
 iph->saddr = new_addr;
 return NF_ACCEPT;
}

//实现目标地址转换
static unsigned int
rawdnat(struct sk_buff **pskb, __be32 addr)
{
 struct iphdr *iph;
 __be32 new_addr;

iph = ip_hdr(*pskb);
 new_addr = remask(iph->daddr, addr, 32);
 if (iph->daddr == new_addr)
  return NF_ACCEPT;

if (!skb_make_writable(pskb, rawnat4_writable_part(iph)))
  return NF_DROP;

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/14d94933d70a141f9d6b32018b7453dd.html