威尼斯wns.9778官网 > 计算机教程 > Cisco与Linux的NAT-Linux实现Cisco风格的NAT

原标题:Cisco与Linux的NAT-Linux实现Cisco风格的NAT

浏览次数:167 时间:2019-10-20

作为IP路由的一种补充,uRPF(单播反向路径转发)可谓非常有用,它认证了IP数据报的源地址,在一定程度了保护了网络的安全,比如有效防止了洪泛攻击。然而直到Linux内核的2.6的高版本版本,Linux只能实现严格的uRPF,这是由fib_validate_source函数来完成的,具体配置在/proc/sys/net/ipv4/conf/$dev/rp_filter,对于Cisco上很简单的松散的uRPF,Linux却无能为力,kernel 2.6的高版本可以为/proc/sys/net/ipv4/conf/$dev/rp_filter设置3个值,分别为不检查,严格uRPF,松散uRPF。kernel 3.3增加了rpfilter机制,将uRPF从协议栈移到了Netfilter,使得Linux可以在协议栈之外实现严格/松散uRPF,然而即便如此,对于VRF(虚拟路由转发),Linux还是没有实现,不过在rpfilter的基础上,这个VRF的实现应该很简单。

既然看到了Cisco的NAT比较灵活,那么Linux能否实现呢?答案是肯定的!因为Linux的Netfilter是超级灵活的,Linux的NAT不灵活是因为iptables程序的不灵活,xtables-addons的RAWNAT已经朝static nat迈出了重要的一步,是iptables限制了Linux的static nat发展!于是我抛开iptables,先基于Netfilter把内核模块实现,然后用procfs作为用户接口,看看怎么实现Cisco风格的static nat。顺带说一句,之所以做这个程序,是因为我们在产品中真的遇到了这个需求,玩过SIP和FTP的都知道,然而因为工期受限,又怕自己做的这个不稳定,效率也没有优化,因此只能放在这里玩玩,不登大雅之堂。
首先,我们看一下基本原理,我们不希望一条NAT绑定任何N元组或者说流,只是一个一对一的地址映射,以源地址转换为例,在从内到外的方向将源地址A转换为B,在从外到内的方向将源目标地址B转换为A!必须记住,任何时候,源地址转换都在POSTROUTING上来做,而目标地址转换都在PREROUTING上来做,按照上述的陈述,以下图说明:
威尼斯wns.9778官网 1
有了上图作为指示,我们就知道该怎么做了:
1.内核中维护一个映射表,仅仅映射两个地址;
2.在PREROUTING和POSTROUTING两个HOOK点上基于上述的映射表执行NAT动作;
3.实现一个用户接口,可以从用户态进行地址映射的配置

以上3点比较容易实现,实际上使用xtables-addons的RAWNAT其实也能实现static nat,然而要想实现两个方向的自动匹配NAT,必然要配置两条甚至多条,最蛋疼的就是明明就是一条映射,非要写成match的形式,所以还是做成Cisco风格的吧。不管怎样,下面的这个代码的实际nat部分还是使用了RAWNAT的代码!

反向路由查找并非那么简单,因为需要考虑策略路由的问题,这一切从何道来呢?rpfilter技术作用在Netfilter的PREROUTING这个HOOK点上,这是合理的,因为必须在标准路由之前进行反向路径查询,以保证没有任何数据从被拒绝的反向路径发出,这里主要是为了禁止ICMP包的回发,然而在PREROUTING这个点上,目标网卡是不知道的,因此也就不能像标准路由中的fib_validate_source那样设置flowi4的iif,既然rpfilter的目的只是裁决一下反向路径的出口,那么其入口就是无关紧要的了,并且我们知道,本机loopback口的通信是可信的,那么就将反向路径查询中的flowi4的iif设置成loopback即可,然而这还有问题,那就是策略路由的问题了,如果我们不查找策略路由表,就会漏掉在策略路由表中的条目而导致正向包被丢弃,而如果想查找策略路由表,由于我们将iif设置成了loopback,就可能会因为rule的iif不匹配而错过:

代码如下:

  1. static int fib_rule_match(struct fib_rule *rule, struct fib_rules_ops *ops,  
  2.                            struct flowi *fl, int flags)  
  3. {  
  4.          int ret = 0;  
  5.          if (rule->iifindex && (rule->iifindex != fl->flowi_iif))  
  6.                  goto out;  
  7.          if (rule->oifindex && (rule->oifindex != fl->flowi_oif))  
  8.                  goto out;  
  9.          if ((rule->mark ^ fl->flowi_mark) & rule->mark_mask)  
  10.                  goto out;  
  11.          ret = ops->match(rule, fl, flags);  
  12. out:  
  13.          return (rule->flags & FIB_RULE_INVERT) ? !ret : ret;  
  14. }  

#include <linux/ip.h>
#include <linux/ipv6.h>
#include <linux/module.h>
#include <linux/skbuff.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <linux/list.h>
#include <linux/sysfs.h>
#include <linux/fs.h>
#include <linux/proc_fs.h>
#include <linux/version.h>
#include <linux/netfilter.h>
#include <net/ip.h>
#include "compat_xtables.h"

策略路由中的FIB_RULE_INVERT标志和rpfilter中的XT_RPFILTER_INVERT标志是相互独立的两个取反标志,然而代表的含义基本一致,这可以让我们配置出各种组合,www.linuxidc.com 也就是说,你可能需要单独的配置一些针对正方向策略路由的反方向策略路由,是不是有点VRF的意思啊!

static inline __be32
remask(__be32 addr, __be32 repl, unsigned int shift)
{
 uint32_t mask = (shift == 32) ? 0 : (~(uint32_t)0 >> shift);
 return htonl((ntohl(addr) & mask) | (ntohl(repl) & ~mask));
}

rpfilter的核心代码如下:

static void rawnat4_update_l4(struct sk_buff *skb, __be32 oldip, __be32 newip)
{
 struct iphdr *iph = ip_hdr(skb);
 void *transport_hdr = (void *)iph ip_hdrlen(skb);
 struct tcphdr *tcph;
 struct udphdr *udph;
 bool cond;

1.match函数:

  1. static bool rpfilter_mt(const struct sk_buff *skb, struct xt_action_param *par)  
  2. {  
  3.        const struct xt_rpfilter_info *info;  
  4.        const struct iphdr *iph;  
  5.        struct flowi4 flow;  
  6.        bool invert;  
  7.   
  8.        info = par->matchinfo;  
  9.        invert = info->flags & XT_RPFILTER_INVERT;  
  10.   
  11.        if (par->in->flags & IFF_LOOPBACK)  
  12.                return true ^ invert;  
  13.   
  14.        iph = ip_hdr(skb);  
  15.        if (ipv4_is_multicast(iph->daddr)) {  
  16.                if (ipv4_is_zeronet(iph->saddr))  
  17.                        return ipv4_is_local_multicast(iph->daddr) ^ invert;  
  18.                flow.flowi4_iif = 0;  
  19.        } else {  
  20.                flow.flowi4_iif = dev_net(par->in)->loopback_dev->ifindex;  
  21.        }  
  22.   
  23.        flow.daddr = iph->saddr;  
  24.        flow.saddr = rpfilter_get_saddr(iph->daddr);  
  25.        flow.flowi4_oif = 0;  
  26.        flow.flowi4_mark = info->flags & XT_RPFILTER_VALID_MARK ? skb->mark : 0;  
  27.        flow.flowi4_tos = RT_TOS(iph->tos);  
  28.        flow.flowi4_scope = RT_SCOPE_UNIVERSE;  
  29.   
  30.        return rpfilter_lookup_reverse(&flow, par->in, info->flags) ^ invert;  
  31. }  

 switch (iph->protocol) {
 case IPPROTO_TCP:
  tcph = transport_hdr;
  inet_proto_csum_replace4(&tcph->check, skb, oldip, newip, true);
  break;
 case IPPROTO_UDP:
 case IPPROTO_UDPLITE:
  udph = transport_hdr;
  cond = udph->check != 0;
#if LINUX_VERSION_CODE >= KERNEL_VERSION(2, 6, 19)
  cond |= skb->ip_summed == CHECKSUM_PARTIAL;
#endif
  if (cond) {
   inet_proto_csum_replace4(&udph->check, skb,
    oldip, newip, true);
   if (udph->check == 0)
威尼斯wns.9778官网,    udph->check = CSUM_MANGLED_0;
  }
  break;
 }
}

2.路由查找以及结果判断逻辑:

  1. static bool rpfilter_lookup_reverse(struct flowi4 *fl4,  
  2.                                const struct net_device *dev, u8 flags)  
  3. {  
  4.        struct fib_result res;  
  5.        bool dev_match;  
  6.        struct net *net = dev_net(dev);  
  7.        int ret __maybe_unused;  
  8.   
  9.        if (fib_lookup(net, fl4, &res))  
  10.                return false;  
  11.   
  12.        if (res.type != RTN_UNICAST) {  
  13.                if (res.type != RTN_LOCAL || !(flags & XT_RPFILTER_ACCEPT_LOCAL))  
  14.                        return false;  
  15.        }  
  16.        dev_match = false;  
  17. #ifdef CONFIG_IP_ROUTE_MULTIPATH  
  18.        for (ret = 0; ret < res.fi->fib_nhs; ret ) {  
  19.                struct fib_nh *nh = &res.fi->fib_nh[ret];  
  20.   
  21.                if (nh->nh_dev == dev) {  
  22.                        dev_match = true;  
  23.                        break;  
  24.                }  
  25.        }  
  26. #else  
  27.        if (FIB_RES_DEV(res) == dev)  
  28.                dev_match = true;  
  29. #endif  
  30.        if (dev_match || flags & XT_RPFILTER_LOOSE)  
  31.                return FIB_RES_NH(res).nh_scope <= RT_SCOPE_HOST;  
  32.        return dev_match;  
  33. }  

虽然基于Netfilter的rpfilter比内置的源地址判断更合理,但是由于Linux协议栈以及Netfilter本身的机制,还是有一些副作用的。威尼斯wns.9778官网 2

static unsigned int rawnat4_writable_part(const struct iphdr *iph)
{
 unsigned int wlen = sizeof(*iph);

 switch (iph->protocol) {
 case IPPROTO_TCP:
  wlen = sizeof(struct tcphdr);
  break;
 case IPPROTO_UDP:
  wlen = sizeof(struct udphdr);
  break;
 }
 return wlen;
}

//实现源地址转换
static unsigned int
rawsnat(struct sk_buff **pskb, __be32 addr)
{
 struct iphdr *iph;
 __be32 new_addr;

 iph = ip_hdr(*pskb);
 new_addr = remask(iph->saddr, addr, 32);
 if (iph->saddr == new_addr) {
  return NF_ACCEPT;
 }

 if (!skb_make_writable(pskb, rawnat4_writable_part(iph))){
  return NF_DROP;
 }

 iph = ip_hdr(*pskb);
 csum_replace4(&iph->check, iph->saddr, new_addr);
 rawnat4_update_l4(*pskb, iph->saddr, new_addr);
 iph->saddr = new_addr;
 return NF_ACCEPT;
}

//实现目标地址转换
static unsigned int
rawdnat(struct sk_buff **pskb, __be32 addr)
{
 struct iphdr *iph;
 __be32 new_addr;

 iph = ip_hdr(*pskb);
 new_addr = remask(iph->daddr, addr, 32);
 if (iph->daddr == new_addr)
  return NF_ACCEPT;

 if (!skb_make_writable(pskb, rawnat4_writable_part(iph)))
  return NF_DROP;

本文由威尼斯wns.9778官网发布于计算机教程,转载请注明出处:Cisco与Linux的NAT-Linux实现Cisco风格的NAT

关键词:

上一篇:Redhat AS 4 成功升级最新Gcc

下一篇:没有了