場(chǎng)景描述
image.png
- 如上圖悲立,一共有三臺(tái)服務(wù)器播赁,從client訪問nat服務(wù)器上的8889端口蕊肥,實(shí)際上通過NAT服務(wù)器里的邏輯
做DNAT之后休吠,轉(zhuǎn)發(fā)到了server服務(wù)器扳埂,最后訪問server上的15006端口。 - NAT服務(wù)器有很多種方法可以做到DNAT蛛碌, 其中可以通過iptables規(guī)則配置聂喇,也可以通過XDP ebpf程序來做到DNAT
iptables DNAT
閱讀以下流程需要先了解iptables是如何使用的
配置規(guī)則
1.清除iptables中的其他干擾記錄
$ iptables -F
$ iptables -t nat -F
$ iptables -X
2.配置iptables的DNAT規(guī)則
$ iptables -t nat -A PREROUTING -i eth0 -d 192.xxx.xx.114 -p tcp --dport 8889 -j DNAT --to 192.xxx.xx.113:15006
該條規(guī)則的意思是,在PREROUTING鏈中加一條規(guī)則,作用于eth0網(wǎng)卡希太,劫持IP為192.xxx.xx.114克饶,端口號(hào)為8889的的流量,重定向到192.xxx.xx.113的15006端口
3.配置SNAT規(guī)則
$ iptables -t nat -A POSTROUTING -d 192.xxx.xx.113 -p tcp --dport 15006 -j SNAT --to-source 192.xxx.xx.114
- 該條規(guī)則的作用是誊辉,為了讓client跟server能正常連接
- 因?yàn)閏lent是直接與NAT服務(wù)器矾湃,所以client并不認(rèn)識(shí)server服務(wù),需要把來自server(192.xxx.xx.113:15006端口)的流量堕澄,源地址改成nat(192.xxx.xx.114), 這樣client就能認(rèn)識(shí)并且正常通信了
具體可以參考文章
how-to-do-the-port-forwarding-from-one-ip-to-another-ip-in-same-network
xdp DNAT
閱讀以下流程需要先了解一下什么是XDP邀跃,以及什么是ebpf/bpf
源碼
https://github.com/Netronome/bpf-samples/blob/master/nat/nat_kern.c
編譯代碼
$make
$ ls
demo Makefile nat nat_common.h nat_kern.c nat_kern.ll nat_kern.o nat_user.c README.rst
會(huì)發(fā)現(xiàn)生成了nat_kern.o文件以及nat可執(zhí)行程序
規(guī)則配置
$ ./nat -i eth0 -S load nat_prog&
$ ./nat mapfill nat_prog key_daddr 192.xxx.xx.114 key_dport 8889 val_saddr 192.xxx.xx.114 val_daddr 192.xxx.xx.113 val_dport 15006 val_dmac 52:xx:xx:xx:xx:3c aggressive_reap 0
