Linux NAT 应用进阶(多链路输出+原路返回)

最新推荐文章于 2023-04-27 16:15:35 发布
最新推荐文章于 2023-04-27 16:15:35 发布
阅读量2k 收藏 3
点赞数
分类专栏: c linux iptables network 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yk_wing4/article/details/90474164
版权
本文深入探讨了Linux网络地址转换(NAT)的高级应用场景,包括双供应商SNAT固定子网选路输出、带权重概率选路、多供应商策略、DNAT原路返回及SNAT结合概率选路等。详细介绍了每个场景的需求、设计方案、实施步骤和验证过程,旨在实现高效、灵活的网络流量管理。
摘要由CSDN通过智能技术生成

Linux NAT 应用进阶

展示了 Linux NAT 应用进阶 的五个例子

  1. 双供应商 + SNAT + 固定子网选路输出
  2. 双供应商 + SNAT + 带权重概率选路
  3. 多供应商 + SNAT + 带权重概率选路
  4. 双供应商 + DNAT + 原路返回
  5. 双供应商 + DNAT + 原路返回 + SNAT + 带权重概率选路

双供应商 + SNAT + 固定子网选路输出

拓扑:

                             LAN                                         .                          WAN
                                                                         .
                                                                         .   ens69f1         
          192.168.33.1/24                                                .      192.168.11.1/24      192.168.11.254/24            ---------
[client_1]-------------------------\                                     .     /--------------------------------------[isp_1]----(         )
          gw: 192.168.33.254/24     \                        ens69s0     .    /                                                 (           )
                                     \             192.168.33.254/24     .   /                                                 (             )
                                     [switch]-----------------------[firewall]                                                (     clound    )---[server]
                                     /                                       \  ens69f2                                        (             )
          192.168.33.2/24           /                                         \ 192.168.22.1/24      192.168.22.254/24          (           )
[client_2]-------------------------/                                           \--------------------------------------[isp_2]----(         )
          gw: 192.168.33.254/24                                                                                                   ---------

需求

  • 源地址 是 192.168.33.1/32 的报文 默认路由 网关为 192.168.11.254 (isp_1)。
  • 源地址 是 192.168.33.2/32 的报文 默认路由 网关为 192.168.22.254 (isp_2)。
  • 源地址 192.168.33.0/24 的报文 都 伪装成外网地址。

设计方案

  • 策略路由

添加两张的策略路由表。按照不同的 标签来 选择不同的 供应商。

供应商 源地址 策略路由表 id 默认路由网关 流出网口
isp_1 192.168.33.1/32 1 192.168.11.254 ens69f1
isp_2 192.168.33.2/32 2 192.168.22.254 ens69f2
  • SNAT

源地址 192.168.33.0/24 的报文 都 伪装成外网地址。

供应商 流出网口 SNAT 到 外网地址
isp_1 ens69f1 192.168.11.1
isp_2 ens69f2 192.168.22.1

设计实施

firewall 的配置指令:

ip link set ens69f0 up
ip a a 192.168.33.254/24 dev ens69f0

ip link set ens69f1 up
ip a a 192.168.11.1/24 dev ens69f1

ip link set ens69f2 up
ip a a 192.168.22.1/24 dev ens69f2

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# 策略路由
# table 1
# 	源地址 是 192.168.33.1/32 的报文 默认路由 网关为 192.168.11.254。
ip route add table 1 default via 192.168.11.254 dev ens69f1
ip rule add from 192.168.33.1/32 table 1
# table 2
# 	源地址 是 192.168.33.2/32 的报文 默认路由 网关为 192.168.22.254。
ip route add table 2 default via 192.168.22.254 dev ens69f2
ip rule add from 192.168.33.2/32 table 2

# 确认主路由表中,有以下直联路由
# ip route show
>	ip route add 192.168.11.0/24 dev ens69f1 proto kernel scope link src 192.168.11.1 
>	ip route add 192.168.22.0/24 dev ens69f2 proto kernel scope link src 192.168.22.1 
>	ip route add 192.168.33.0/24 dev ens69f0 proto kernel scope link src 192.168.33.254 

# SNAT
# 源地址 192.168.33.0/24 的报文 都 伪装成外网地址。
iptables -t nat -A POSTROUTING -s 192.168.33.0/24 -j MASQUERADE

验证

双供应商 + SNAT + 带权重概率选路

拓扑:

                             LAN                                         .                          WAN
                                                                         .
                                                                         .   ens69f1         
          192.168.33.1/24                                                .      192.168.11.1/24      192.168.11.254/24            ---------
[client_1]-------------------------\                                     .     /--------------------------------------[isp_1]----(         )
          gw: 192.168.33.254/24     \                        ens69s0     .    /                                                 (           )
                                     \             192.168.33.254/24     .   /                                                 (             )
                                     [switch]-----------------------[firewall]                                                (     clound    )---[server]
                                     /                                       \  ens69f2                                        (             )
          192.168.33.2/24           /                                         \ 192.168.22.1/24      192.168.22.254/24          (           )
[client_2]-------------------------/                                           \--------------------------------------[isp_2]----(         )
          gw: 192.168.33.254/24                                                                                                   ---------

需求

  • 源地址 192.168.33.0/24 的报文 都 伪装成外网地址。
  • 源地址 192.168.33.0/24 的报文 20% 新建连接的 默认路由 网关为 192.168.11.254 (isp_1)。
  • 源地址 192.168.33.0/24 的报文 80% 新建连接的 默认路由 网关为 192.168.22.254 (isp_2)。
  • 同一连接的报文,保证走相同的出口。
  • 子连接,保证与主连接走相同的出口。

设计方案

  • 对新建流打标签

在 PREROUTING 链,对新建的流打 按照 按照权重打上标签。
使用 state 的 --state NEW,来匹配新建的连接。
使用 statistic 的 --probability ,来生成随机数。随机选路。
使用 CONNMARK 的 --set-mark ,对新建的流打上标签。
使用 CONNMARK 的 --restore-mark,将 ct->mark(连接跟踪标签)拷贝到 skb->mark(报文标签)

供应商 需求新建连接走包概率 –probability 参数 标签
isp_1 20% 0.2 0x11/0xff
isp_2 80% 1 0x22/0xff
  • 策略路由

添加两张的策略路由表。按照不同的 标签来 选择不同的 供应商。

供应商 标签 策略路由表 id 默认路由网关 流出网口
isp_1 0x11/0xff 1 192.168.11.254 ens69f1
isp_2 0x22/0xff 2 192.168.22.254 ens69f2
  • SNAT

源地址 192.168.33.0/24 的报文 都 伪装成外网地址。

供应商 流出网口 SNAT 到 外网地址
isp_1 ens69f1 192.168.11.1
isp_2 ens69f2 192.168.22.1

注意:

子连接可以得到主连接的 ct_mark。可以保持子连接与主连接走相同的出口。
所以没有需要格外对 状态 为 RELATED 子连接 打 mark。

以下是内核的代码实现。

static struct nf_conntrack_tuple_hash* init_conntrack(...)
{
   
/* ... */
#ifdef CONFIG_NF_CONNTRACK_MARK
		ct->mark = exp->master->mark;	/* 子连接可以得到主连接的 ct_mark */
#endif
/* ... */
}

设计实施

firewall 的配置指令:

ip link set ens69f0 up
ip add add 192.168.33.254/24 dev ens69f0

ip link set ens69f1 up
ip add add 192.168.11.1/24 dev ens69f1

ip link set ens69f2 up
ip add add 192.168.22.1/24 dev ens69f2

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

# 对新建流打标签
# 对于 源地址 192.168.33.0/24 的 新建连接
# 	1. 设置 20% 的概率 打上 0x11/0xff 标签。
# 	2. 将没有打上标签(ct_mark 在初始化的时候 是 0x0 )的新建连接,都打上 0x22/0xff 标签。  
# 	3. 从 ct->mark(连接跟踪标签)拷贝到 skb->mark(报文标签)。
iptables -t mangle -A PREROUTING -s 192.168.33.0/24 -m state --state NEW  -m statistic --mode random --probability 0.2 -j CONNMARK --set-mark 0x11/0xff
iptables -t mangle -A PREROUTING -s 192.168.33.0/24 -m state --state NEW  -m connmark --mark 0x0/0xff -j CONNMARK --set-mark 0x22/0xff
iptables -t mangle -A PREROUTING -s 192.168.33.0/24 -j CONNMARK --restore-mark --ctmask 0xff --nfmask 0xff

# 策略路由
# table 1
#	源地址 是 192.168.33.0/24 并且 打上 0x11/0xff标签 的报文 默认路由 网关为 192.168.11.254。
ip rout
最低0.47元/天 解锁文章
Andrew Yang
关注
专栏目录
java架构师进阶之路
henhenha的博客
03-30 3770
包含了计算机基础、算法和数据结构、常用工具、java核心知识、性能优化、基础框架、数据库、消息队列、缓存中间件、搜索引擎、大数据、RPC、网关、容器、面试等知识
Linux源进源出与iproute2
weixin_34226706的博客
11-15 1387
最近在给客户做解决方案的时候遇到这么一个场景也给自己埋了个坑这里记录一下。 具体需求如下 现在客户国内服务器和国外的防火墙已经内网打通 客户在国内有台WEB服务器要通过国外的一台防火墙访问外网 需要从国外防火墙上能够回源到国内的WEB服务器即能够通过防火墙访问到WEB服务的80端口 国内WEB服务器有自己的公网地址需要能够进行管理 ...
linux 原路返回路由,linux – 根据服务将返回流量路由到正确的网关
weixin_36165880的博客
05-12 504
如果我正确理解您的意图,您希望您的网络服务器通常使用ISP-2作为传出流量的默认网关,但对外部Web请求的响应除外,这些请求必须通过ISP-1传输.以下是使用策略路由的解决方案草图:echo "101 webtraffic" >> /etc/iproute2/rt_tablesip route add default table webtraffic via $ISP1_GW_LAN_...
liunx服务器双网卡配置源进源出
qq_42216071的博客
04-26 2311
多网卡配置
使用Liunux做回流 NAT回流篇
weixin_34220623的博客
01-10 350
这两天公司上了个破系统,系统里有个配置文件,是用来获取系统内视频的IP地址,不能使用域名来获取,而且还得是公网IP地址,实在给我折腾了一把。。。 使用公网IP,外网是可以访问了,可是我内部的网络怎么去访问呢?难道还绕一圈出去再访问回来?这也忒不合理了。 幸好用是的Linux+Squid+Iptables做的网关,很强大的说,呵呵 Iptables两天规则搞定 PRER...
linux 做防火墙端口回流问题
edisonkun的专栏
11-06 1070
这两天公司防火墙坏了,临时启用一台linux顶替防火墙。   三个步骤,很简单,五分钟搞定。     前提:linux服务器两个网卡,内外网卡都设置正确ip。   1: 修改系统内核,开启ip转发。   vi /etc/sysctl.conf   修改  net.ipv4.ip_forward = 0 为 net.ipv4.ip_forward = 1   然
linux系统,多网卡配置,源进源出配置实践
lu07ya的博客
03-12 6464
linux系统,多网卡配置,源进源出 环境:eth1:网通 10.202.36.201/23 网关10.202.37.254 ip:10.202.36.201eth2:教育网 10.202.41.8/23 网关10.202.41.254 ip:10.202.41.8实现功能:从网通进入的所有数据仍从网通出口传出。从教育网进入的所有数据仍从教育网出口传出。实现方法:1.额外创建两个路由表cnc jy...
linux服务器添加双路由,Linux添加原路返回路由 解决 服务器电信+网通双线双网卡双IP访问 问题...
weixin_30320081的博客
04-29 511
服务器环境:网卡一(eth0)电信IP:114.80.66.145 网关地址:114.80.66.1网卡二(eth1)网通IP:60.29.231.160 网关地址:60.29.231.1可以使用Putty远程登录运行以下脚本即可:引用代码:TEL="eth0"TEL_IP="114.80.66.145"TEL_GW="114.80.66.1"CNC="eth1"CNC_IP="60.29.231...
linux配置nat端口转换,NAT网络地址转换——静态NAT,端口映射(实操!!)
weixin_29521135的博客
05-03 1678
NAT概述NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法NAT的工作原理借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量...
linuxNAT配置详解
12-20
linuxNAT配置详解 linuxNAT配置详解 linuxNAT配置详解
NAT类型检测工具
05-03
NAT类型检测工具 直接运行,相当好用,但要有.NET 2.0以上的环境支持,也就是说,要安装VC++ 6.0或VS,如果不想用这个工具的话,还有个在线网址,大家可以看一下,不过还是要下载JAVA虚拟机: http://nattest.net.in.tum.de/
LVS负载均衡NAT/DR模式搭建、keepalived+LVS配置
FUYY'S BLOG
11-09 2787
文章目录LVS 介绍LVS NAT模式LVS IP Tunnel模式LVS DR模式LVS 常用调度算法 LVS 介绍 LVS(Linux Virtual Server)Linux虚拟服务器,主要用于搭建负载均衡集群,LVS属于4层(OSI模型)的负载均衡,而nginx属于7层,相比较来说,LVS这种4层的负载均衡更稳定,能承受更多的请求,而nginx这种7层的负载均衡更加灵活,能实现更多的个性化...
linux nat 日志,IPtables日志管理  (记录NAT信息)
weixin_33491377的博客
05-06 1797
Iptables的手册中提到LOGtarget这个target是专门用来记录数据包有关信息的。这些信息可能是非法的,那就可以用来除错。LOG会返回包的有关细节,如IP头的大部分和其他有趣的信息。这个功能是通过内核的日志工具完成的,一般是syslogd。返回的信息可用dmesg阅读,或者可以直接查看syslogd的日志文件,也可以用其他的什么程序来看。LOG对调试规则有很大的帮助,你可以看到包去了哪...
Linux NAT 类型详解
sdc20102010的博客
04-27 5741
什么是NAT? 为什么需要NAT? 下面我们就详细的了解一下。为什么需要nat 以为我们的IPv4 地址有限 不可能全世界的人没人分一个也没关系,如果够全世界每人一个 我们就不需要nat了你只要知道我的ip就可以找到我了。 正式给予这种ipv4的局限性,为了节省公网ip 就必须有一种个丝网和公网转换的方式,这种方式就是NAT. 因此大家也就明白了ipv6 为什么可以不走nat 而直接走 route...
Linux NAT软路由的简介、入门与配置
最新发布
meihualing的专栏
04-27 3871
NAT的简介,入门,配置与实战,透明代理
linux nat软件,linuxnat应用(转)
weixin_28928039的博客
05-03 422
linuxnat应用(转)随着Linux应用普及,Linux在网络方面的强大逐步为大家所认识,越来越多的单位选择使用Linux来作为服务器的操作系统。今天笔者想就Linux在校园网NAT方面的应用展开一些探讨。大家都知道,所谓“网络地址转换”(Network Address Translation,NAT),它是定义于RFC1631中的Internet标准,主要是用来简化及保存IP地址,它可...
linux查看nat日志,一种基于LinuxNat日志记录方法与装置 Nat logging method and apparatus based on Linux...
weixin_35112917的博客
05-10 216
摘要:本发明涉及日志系统技术领域,尤其涉及一种基于LinuxNat日志记录方法与装置,所述方法包括:A.数据报文到达网卡,并进入内核防火墙;B.数据报文到达第一检测点,判断是否需要做DNat记录,是则对所述数据报文做DNat记录,并通过传输接口记录后执行步骤C,否则直接执行步骤C;C.数据报文进入第二检测点,判断是否需要做SNat记录,是则对所述数据报文做SNat记录,并通过传输接口记录后执行步...
LinuxNATAPP内网穿透工具安装和使用
月生的静心苑
04-20 8995
内网穿透的原理其实很简单,就是通过具有固定公网IP地址的中转服务器实现流量转发。我们常用的向日葵、teamviewer都是类似的原理,只不过这些远程桌面工具是客户端到客户端的隧道,中间也是必须经过中转服务器转发流量的。而natapp实现的是客户端的某个服务映射到公网上,我们需要的时候通过映射后的地址访问内网的服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值