Linux NAT源码分析

最新推荐文章于 2022-01-27 15:09:39 发布
最新推荐文章于 2022-01-27 15:09:39 发布
阅读量793 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1558451960/article/details/91568270
版权

kernel源码: Linux 3.18.21

1.  NAT核心代码框架

DNAT和SNAT最终都会调用nf_nat_ipv4_fn

2. nf_nat_ipv4_fn函数

只有每条连接的第一个包会经过nat表,后面的包直接根据连接跟踪进行转发

3. nf_nat_setup_info函数

SNAT DNAT MASQUERADE等target,匹配上的时候最终都会调用nf_nat_setup_info函数,这个里面会修改连接跟踪里面的reply tuple。

4. nf_nat_packet

该函数的功能主要是根据连接跟踪中的信息去修改skb中的IP地址和端口等信息。

SYN包:   

(1)PREROUTING点:   DNAT, dir非reply, 所以statusbit是IPS_DST_NAT, ct->status没有SNAT, 直接ACCEPT,不调用l3proto->manip_pkt

(2)POSTROUTING点:  SNAT, dir非reply, 所以statusbit是IPS_SRC_NAT, ct->status经过MASQRADE规则后有了SNAT, 调用l3proto->manip_pkt进行SNAT信息修改

SYN + ACK包:

(1)PREROUTING点:   DNAT, dir reply, 所以statusbit是IPS_SRC_NAT, ct->status有SNAT,  调用l3proto->manip_pkt进行信息修改

(2)POSTROUTING点:  SNAT, dir reply, 所以statusbit是IPS_DST_NAT, ct->status有SNAT, 所以直接ACCEPT,不进行地址转换

ACK包:

(1)PREROUTING点:   DNAT, dir非reply, 所以statusbit是IPS_DST_NAT, ct->status有SNAT,  直接ACCEPT,不调用l3proto->manip_pkt进行信息修改

(2)POSTROUTING点:  SNAT, dir非reply, 所以statusbit是IPS_SRC_NAT, ct->status有SNAT, 调用l3proto->manip_pkt进行信息修改

 

unsigned int nf_nat_packet(struct nf_conn *ct,
			   enum ip_conntrack_info ctinfo,
			   unsigned int hooknum,
			   struct sk_buff *skb)
{
	const struct nf_nat_l3proto *l3proto;
	const struct nf_nat_l4proto *l4proto;
	enum ip_conntrack_dir dir = CTINFO2DIR(ctinfo);
	unsigned long statusbit;
	enum nf_nat_manip_type mtype = HOOK2MANIP(hooknum);

	if (mtype == NF_NAT_MANIP_SRC)
		statusbit = IPS_SRC_NAT;
	else
		statusbit = IPS_DST_NAT;

	/* Invert if this is reply dir. */
	if (dir == IP_CT_DIR_REPLY)
		statusbit ^= IPS_NAT_MASK;

	/* Non-atomic: these bits don't change. */
	if (ct->status & statusbit) {
		struct nf_conntrack_tuple target;

		/* We are aiming to look like inverse of other direction. */
		nf_ct_invert_tuplepr(&target, &ct->tuplehash[!dir].tuple);

		l3proto = __nf_nat_l3proto_find(target.src.l3num);
		l4proto = __nf_nat_l4proto_find(target.src.l3num,
						target.dst.protonum);
		if (!l3proto->manip_pkt(skb, 0, l4proto, &target, mtype))
			return NF_DROP;
	}
	return NF_ACCEPT;
}

 

 

a1558451960
关注
Linux网络地址转换NAT源码分析
12-29
地址转换用来改变源/目的地址/端口,是netfilter的一部分,也是通过hook点上注册相应的结构来工作
图示基于FreeBSD、LinuxNAT实现
09-23
在FreeBSD Linux下利用NATD IPNAT 等工具实现NAT
linux nat源码分析,LinuxNAT/NAPT规则源码分析
weixin_28674303的博客
05-12 178
38 static int39 udp_unique_tuple(struct ip_conntrack_tuple *tuple,40 const struct ip_nat_range *range,41 enum ip_nat_manip_type maniptype,42 const struct ip_conntrack *...
Linux协议栈--NAT源码分析
maimang1001的专栏
01-27 1357
Linux协议栈--NAT源码分析 NAT的初始化 NAT的实现 NAT的实际转换过程 参考NAT的初始化前面我们在Iptables规则中提到过,NAT是Iptables中的一种表。所以NAT的初始化会在Iptables框架中注册一个表项。然后NAT也需要在Netfilter框架中注册钩子函数才能捕获数据包并对其进行修。这些都是在/net...http://cxd2014.github.io/2017/09/29/linux-nat/ NAT的初始化 前面我们在Iptables规则中提到过,NAT是Ip
LinuxNAT实现浅谈
系统运维
06-14 468
NAT实际上就是一个代理,代理NAT内部的所有机器,NAT的分类就是按照“如何代理”来讲的,不管是基于连接的NAT实现,还是基于包的NAT实现,都要处理好一个映射关系,那就是转换后的包的返回包如何转换回原始的。 LinuxNAT是对称NAT,而不是锥形NAT,虽然很多时候LinuxNAT看起来更像是一个锥形NAT。 只需要明白Linux实现NAT的本质,即使不明白NAT的分类也无所谓。Linu...
Linux网络地址转换NAT源码分析[定义].pdf
10-19
Linux 网络地址转换 NAT 源码分析 Linux 网络地址转换(NAT)是一种技术,用于改变数据包的源/目的地址和端口号,以便在不同的网络环境中实现网络通信。NAT 是 Netfilter 框架的一部分,通过注册 hook 点来工作。 ...
Linux网络地址转换NAT源码分析.pdf
10-09
Linux NAT源码分析通常会涉及到Netfilter框架、conntrack模块以及NAT相关的数据结构和函数实现。 Netfilter是一个为Linux内核提供的框架,用于在网络层提供包过滤、网络地址转换(NAT)和其它网络处理功能。它通过...
nf_nat_proto_gre.rar_linux nat gre
最新发布
09-24
标题 "nf_nat_proto_gre.rar_linux nat gre" 指涉的是Linux内核网络API中的一个特定组件,即NAT(网络地址转换)协议助手模块,用于处理GRE...同时,这个模块也是Linux内核源码分析和学习网络协议处理的一个重要实例。
linux nat源码分析,实战经验:Linux Source NAT在Ping场景下的应用
weixin_36328984的博客
05-12 175
有时候,有这样的一种需求:需要修改IP数据包中的源地址,比如,从某一个主机发送Ping包到另一个主机,需要修改源地址为另一个源(通常,发出Ping请求的主机有多个网卡地址)。为了解决这一需求,Linux下的netfilter组件中有个Source NAT的功能,可以修改IP数据包中的源地址。此功能实际上是通过iptables在POSTROUTING链中添加一条规则,此规则在数据包被最终发送出去之前...
关于linuxnat实现的一些思考
Netfilter
04-13 5250
DNAT主要是用于保护nat内侧的服务器,针对外部主动连接内部的情形,而SNAT恰恰相反,为了保护和限制内部的网络客户机,针对的是内部主动连接外部的情形,在linux中,nat是基于连接跟踪模块起作用的,连接跟踪模块将每一个数据包试图和一个连接关联,结果就是要么这个数据包属于一个已经存在的连接,要么这个数据包不属于任何一个已经存在的连接,这种情况下连接跟踪模块将要为此数据包创建一个连接,显然该数据
NAT协议完整源代码
01-06
NAT协议完整源代码,挺好 希望读者可以好好看看
linux下的nat源码分析,关于linuxnat实现的一些思考
weixin_32001191的博客
05-12 408
DNAT主要是用于保护nat内侧的服务器,针对外部主动连接内部的情形,而SNAT恰恰相反,为了保护和限制内部的网络客户机,针对的是内部主动连接外部的情形,在linux中,nat是基于连接跟踪模块起作用的,连接跟踪模块将每一个数据包试图和一个连接关联,结果就是要么这个数据包属于一个已经存在的连接,要么这个数据包不属于任何一个已经存在的连接,这种情况下连接跟踪模块将要为此数据包创建一个连接,显然该数据...
linux下做 nat
代码人生
07-02 4282
################echo 1 > /proc/sys/net/ipv4/ip_forward/sbin/modprobe ip_tables/sbin/modprobe iptable_filter/sbin/modprobe iptable_nat/sbin/modprobe ip_conntrack/sbin/modprobe ip_conntrack_ftp/sbin/mod
linux nat代码流程,Linux NAT基本流程与实现技巧
weixin_32081953的博客
05-13 215
基于matches的NATLinuxNAT是基于match的,即在满足一系列条件的前提下执行SNAT或者DNAT,因此要求也就比较宽松,唯一的约束就是路由,即路由动作发生的时候,必须是基于最终的目标IP地址,因此DNAT必须发生在路由之前(对于本机发出的数据包,则在路由之后,然后重新路由),如下图所示附:Netfilter与ip_conntrackNetfilterLinux的协议栈仅仅实现了基...
linux nat源码分析,Linux网络子系统安全性模块详细分析之文件nf_nat_core.c核心代码注释...
weixin_39608526的博客
05-12 148
原标题:Linux网络子系统安全性模块详细分析之文件nf_nat_core.c核心代码注释2.4.3.6 核心代码注释static bool manip_pkt(u_int16_t proto,struct sk_buff *skb,unsigned int iphdroff,conststruct nf_conntrack_tuple *target,enum nf_nat_manip_type...
Linux 实现 NAT
weixin_34388207的博客
11-08 844
2019独角兽企业重金招聘Python工程师标准>>> ...
linux内核snat分析,(十)洞悉linux下的Netfilter&iptables:网络地址转换原理之SNAT
weixin_35719236的博客
04-29 123
gaopeiliang:怎么搞的,关键的数据怎么丢了那,,出现的问题是从ppp0上走出的数据,正确的SNAT出去了,同时也得到了响应,但是数据却没有转发到eth1上,看来看去好像是回来的数据包没有被自动的NAT回来,导致没有转发到eth1上。这个没有什么道理啊,,希望博主帮忙分析一下,是哪个环节可能有问题,还是这种用法就有问题???做完策略路由之后,再配置两组规则看看?可以用源地址伪装来实现,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值