關(guān)于DNAT的接收處理

asweisun_shan

有兩臺(tái)機(jī)器，一臺(tái)機(jī)器的IP是A_ip，另一臺(tái)是B_ip.

在A上配置了如下規(guī)則(沒有配置SNAT規(guī)則)：
iptables -t nat -A OUTPUT -d 10.6.0.0/16 -j DNAT
        --to-destination B_IP:100


現(xiàn)在A_IP發(fā)送到10.6.0.0的數(shù)據(jù)，會(huì)被轉(zhuǎn)換成到B_ip:100.
并且接收到的應(yīng)答應(yīng)是到A_IP的。
這時(shí)就需要對(duì)接收到的包進(jìn)行源地址轉(zhuǎn)換，請(qǐng)問是在哪里進(jìn)行轉(zhuǎn)換的？

是路由之前，還是在路由之后？
謝謝。

Godbach

回復(fù) 1# asweisun_shan

這時(shí)就需要對(duì)接收到的包進(jìn)行源地址轉(zhuǎn)換，請(qǐng)問是在哪里進(jìn)行轉(zhuǎn)換的？

DNAT 是對(duì)包的目的地址進(jìn)行轉(zhuǎn)換

Godbach

回復(fù) 1# asweisun_shan
DNAT 應(yīng)該是在路由之前

瀚海書香

回復(fù) 1# asweisun_shan
應(yīng)答包的源地址修改是在conntrack_in的hook點(diǎn)進(jìn)行的，而conntrack_in的hook點(diǎn)的操作是在PRE_ROUTING上完成的。
所以應(yīng)答包的源地址修改是在路由之前完成的。

asweisun_shan

回復(fù) 4# 瀚海書香


非常謝謝。
能告訴我內(nèi)核中處理的代碼嗎？

另外，NF_INET_PRE_ROUTING這個(gè)hook還會(huì)處理DNAT相關(guān)的內(nèi)容嗎？
我覺得只要iptables沒有相應(yīng)規(guī)則，則就不處理了。

nu_teller

回復(fù) 5# asweisun_shan

   2.6.20內(nèi)核：
    nf_nat_rule.c ->  ipt_dnat_reg
就是在PREROUTING點(diǎn)上做的DNAT

asweisun_shan

看了下內(nèi)核源碼。
NAT注冊(cè)了4個(gè)鉤子，數(shù)據(jù)結(jié)構(gòu)在nf_nat_ops中。
如果iptables配置了DNAT規(guī)則，則調(diào)用DNAT相關(guān)的target，就是ipt_dnat_reg(這個(gè)并不修改任何地址)。
如果配置了SNAT，則調(diào)用SNAT相關(guān)的target。

發(fā)送數(shù)據(jù)的時(shí)候，
是先修改目的地址--->路由--》發(fā)送出去。

接收數(shù)據(jù)包時(shí)，
IP層處理-》PRE_ROUTING->路由->LOCAL_IN->TCP層。

接收的時(shí)候，在PRE_ROUTING, LOCAL_IN都可以修改接收包的源地址。
PRE_ROUTING的處理函數(shù)是nf_nat_in：
LOCAL_IN的處理函數(shù)是nf_nat_fn；

而有如下的調(diào)用關(guān)系;
nf_nat_in（PRE_ROUTING）
|------nf_nat_fn(LOCAL_IN)
     |------nf_nat_packet
       |------manip_pkt（修改數(shù)據(jù)包�。。�


所以，在路由前后都存在修改數(shù)據(jù)包地址的可能性。
至于什么場(chǎng)景下會(huì)在路由前，什么場(chǎng)景會(huì)在路由之后，就不得知了。
(以上只是個(gè)人揣測(cè)，自己還要繼續(xù)看代碼。)

回復(fù)  asweisun_shan
應(yīng)答包的源地址修改是在conntrack_in的hook點(diǎn)進(jìn)行的，而conntrack_in的hook點(diǎn)的操作 ...
瀚海書香 發(fā)表于 2011-09-19 16:37