51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

iptables与natcheck

作者:bw_0927
运维 系统运维
iptables 是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。iptables与natcheck的关系非常好,我们来看看他们能做出什么好事来!

iptablesnatcheck配合起来使用绝了,大家可以试试,我在这里为大家讲下他们的知识!

  Stun协议(Rfc3489、详见http://www.ietf.org/rfc/rfc3489.txt) 提出了4种NAT类型的定义及其分类,并给出了如何检测在用的NAT究竟属于哪种分类的标准。但是,具体到P2P程序如何应用Stun协议及其分类法穿越NAT,则是仁者见仁、智者见智。(因为Stun协议并没有给出也没有必要给出如何穿越NAT的标准)

  在拙作“iptables与stun”一文中,笔者花大幅精力阐述了iptables理论上属于Symmetric NAT而非Port Restricted Cone。对此,很多人(包括笔者最初学习Stun协议时)心中都有一个疑惑,即仅就Stun协议本身来说,Port Restricted Cone和Symmetric NAT的区别似乎不大,虽然两者的映射机制是有点不同,但他们都具有端口受限的属性。初看起来,这两者在穿越NAT方面的特性也差不多,尤其是对于外部地址欲往NAT内部地址发包的情况。既然如此,又为何有必要把iptables分得这么清呢,本文顺带解决了读者在这一方面的疑惑。

  网站http://midcom-p2p.sourceforge.net/给出了P2P程序具体如何穿越NAT的一个思路,并提供了一个P2P协议穿越NAT兼容性的测试工具natcheck。让我们仍旧用实例(例1)来说明这一思路吧!

  A机器在私网(192.168.0.4)

  A侧NAT服务器(210.21.12.140)

  B机器在另一个私网(192.168.0.5)

  B侧NAT服务器(210.15.27.140)

  C机器在公网(210.15.27.166)作为A和B之间的中介

  A机器连接过C机器,假使是 A(192.168.0.4:5000)-> A侧NAT(转换后210.21.12.140:8000)-> C(210.15.27.166:2000)

  B机器也连接过C机器,假使是 B(192.168.0.5:5000)-> B侧NAT(转换后210.15.27.140:8000)-> C(210.15.27.166:2000)

  A机器连接过C机器后,A向C报告了自己的内部地址(192.168.0.4:5000),此时C不仅知道了A的外部地址(C通过自己看到的210.21.12.140:8000)、也知道了A的内部地址。同理C也知道了B的外部地址(210.15.27.140:8000)和内部地址(192.168.0.5:5000)。之后,C作为中介,把A的两个地址告诉了B,同时也把B的两个地址告诉了A。

  假设A先知道了B的两个地址,则A从192.168.0.4:5000处同时向B的两个地址192.168.0.5:5000和210.15.27.140:8000发包,由于A和B在两个不同的NAT后面,故从A(192.168.0.4:5000)到B(192.168.0.5:5000)的包肯定不通,现在看A(192.168.0.4:5000)到B(210.15.27.140:8000)的包,分如下两种情况:

  1、B侧NAT属于Full Cone NAT

  则无论A侧NAT属于Cone NAT还是Symmetric NAT,包都能顺利到达B。如果P2P程序设计得好,使得B主动到A的包也能借用A主动发起建立的通道的话,则即使A侧NAT属于Symmetric NAT,B发出的包也能顺利到达A。

  结论1:只要单侧NAT属于Full Cone NAT,即可实现双向通信。

  2、B侧NAT属于Restricted Cone或Port Restricted Cone

  则包不能到达B。再细分两种情况

  (1)、A侧NAT属于Restricted Cone或Port Restricted Cone

  虽然先前那个初始包不曾到达B,但该发包过程已经在A侧NAT上留下了足够的记录:A(192.168.0.4:5000)->(210.21.12.140:8000)->B(210.15.27.140:8000)。如果在这个纪录没有超时之前,B也重复和A一样的动作,即向A(210.21.12.140:8000)发包,虽然A侧NAT属于Restricted Cone或Port Restricted Cone,但先前A侧NAT已经认为A已经向B(210.15.27.140:8000)发过包,故B向A(210.21.12.140:8000)发包能够顺利到达A。此后,再有A到B的包,都能顺利到达。

  结论2:只要两侧NAT都不属于Symmetric NAT,也可双向通信。换种说法,只要两侧NAT都属于Cone NAT,即可双向通信。

  (2)、A侧NAT属于Symmetric NAT

  因为A侧NAT属于Symmetric NAT,且最初A到C发包的过程在A侧NAT留下了如下记录:A(192.168.0.4:5000)->(210.21.12.140:8000)-> C(210.15.27.166:2000),故A到B发包过程在A侧NAT上留下的记录为:A(192.168.0.4:5000)->(210.21.12.140:8001)->B(210.15.27.140:8000)(注意,转换后端口产生了变化)。而B向A的发包,只能根据C给他的关于A的信息,发往A(210.21.12.140:8000),因为A端口受限,故此路不通。再来看B侧NAT,由于B也向A发过了包,且B侧NAT属于Restricted Cone或Port Restricted Cone,故在B侧NAT上留下的纪录为:B(192.168.0.5:5000)->(210.15.27.140:8000)->A(210.21.12.140:8000),此后,如果A还继续向B发包的话(因为同一目标,故仍然使用前面的映射),如果B侧NAT属于Restricted Cone,则从A(10.21.12.140:8001)来的包能够顺利到达B;如果B侧NAT属于Port Restricted Cone,则包永远无法到达B。

  结论3:一侧NAT属于Symmetric NAT,另一侧NAT属于Restricted Cone,也可双向通信。

  显然,还可得出另一个不幸的结论4,两个都是Symmetric NAT或者一个是Symmetric NAT、另一个是Port Restricted Cone,则不能双向通信。

  上面的例子虽然只是分析了最初发包是从A到B的情况,但是,鉴于两者的对称性,并且如果P2P程序设计得足够科学,则前面得出的几条结论都是没有方向性,双向都适用的。

  通过上述分析,我们得知,在穿越NAT方面,Symmetric NAT和Port Restricted Cone是有本质区别的,尽管他们表面上看起来相似。我们上面得出了四条结论,而natcheck网站则把他归结为一条:只要两侧NAT都属于Cone NAT(含Full Cone、Restricted Cone和Port Restricted Cone三者),即可双向通信。而且natcheck网站还建议尽量使用Port Restricted Cone,以充分利用其端口受限的属性确保安全性。目前,国内充分利用了上述思路的具有代表性的P2P软件是“E话通”(www.et66.com)。

#p#

  在对natcheck提供的思路进行仔细分析后,开始探讨本文主题:iptables与natcheck。

  Natcheck脱胎于Stun协议,由拙作“iptables与stun”一文可知,其对iptables进行的穿越NAT兼容性测试结果必然是GOOD。此外,我在该文中还提到一句,如果在每个NAT后面仅有一个客户端这种特殊情况下,iptables就是一个标准的Port restricted Cone。根据前面natcheck的结论,这样两个iptables后面的客户端应该可以互相穿越对方的NAT。让我们来看一下实际情况(例2)呢?

  仍然参考前例,只是两侧都使用iptables来进行地址转换。(因为采用了iptables,故此处和前例稍有点区别,即转换后源端口不变)

  A与B通过C交换对方地址的初始化环节此处略去,我们从A(192.168.0.4:5000)向B(210.15.27.140:5000)(注意因使用iptables而导致端口和前例不一样)发包开始分析,因为在本例中,两侧均只有一个客户端,故可把iptables简化成Port restricted Cone看待。

  如前例一样,从A(192.168.0.4:5000)到B(210.15.27.140: 5000)的***个包必不能到达B,但其会在A侧iptables上留下记录,在这条记录没有超时之前(iptables下默认30秒),如果B也向A(210.21.12.140:5000)发包,如前所述,按理该包应该能够到达A,但事实上却是永远到不了。

  难道是natcheck的结论错了,或者是特殊情况下iptables并不是Port restricted Cone(即仍然是Symmetric NAT),我们还是别忙着再下结论,先来看看来两侧iptables上留下的记录吧:

  A侧:cat /proc/net/ip_conntrack | grep 192.168.0.4 | grep udp

  udp 17 18 src=192.168.0.4 dst=210.15.27.140 sport=5000 dport=5000 [UNREPLIED] src=210.15.27.140 dst=210.21.12.140 sport=5000 dport=5000 use=1

  B侧:cat /proc/net/ip_conntrack | grep 192.168.0.5 | grep udp

  udp 17 26 src=192.168.0.5 dst=210.21.12.140 sport=5000 dport=5000 [UNREPLIED] src=210.21.12.140 dst=210.15.27.140 sport=5000 dport=1026 use=1

  把两条记录翻译如下:(关于ip_conntrack文件的分析,请见http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html)

  A(192.168.0.4:5000)-> A侧NAT(转换后210.21.12.140:5000)-> B(210.15.27.140:5000)

  B(192.168.0.5:5000)-> B侧NAT(转换后210.15.27.140:1026)-> A(210.21.12.140:5000)

  奇怪,B到A的包在映射后源端口号怎么变了呢,按理不应该呀?因为按照iptables转换原则(详见“iptables与stun”),要求尽量保持源端口号不变,除非socket有重复。难道B侧NAT上还有重复记录,再cat一下呢?

  B侧:cat /proc/net/ip_conntrack | grep 210.21.12.140 | grep udp

  udp 17 10 src=210.21.12.140 dst=210.15.27.140 sport=5000 dport=5000 [UNREPLIED] src=210.15.27.140 dst=210.21.12.140 sport=5000 dport=5000 use=1

  udp 17 16 src=192.168.0.5 dst=210.21.12.140 sport=5000 dport=5000 [UNREPLIED] src=210.21.12.140 dst=210.15.27.140 sport=5000 dport=1026 use=1

  操!还果真有两条差不多的记录,***条与NAT无关,是A到B的包在B侧iptables上留下的记录,产生时间上略早于第二条记录,其构成的socket是(210.21.12.140:5000,210.15.27.140:5000)。第二条即B到A的包产生的记录,其构成的socket是(210.15.27.140:1026,210.21.12.140:5000),如果其源端口不改动,即是(210.15.27.140:5000,210.21.12.140:5000),还真和***条记录重复了呢,怪不得转换后需要修改源端口,也怪不得B发包到不了A。

  为什么是这样的结果呢?我们知道,iptables是一个有状态的防火墙,他通过连接跟踪模块来实现状态检测的功能,该模块检查所有到来的数据包,也就是说,该模块不仅对NAT起作用,而且对普通的包过滤也起作用。显然,在上述例子里,A到B的包就是作为普通的包过滤而被记载在B侧iptables的连接跟踪表里,导致后来B到A的包为避免socket重复而不得不改换端口号,从而导致无法实现双向通信。看来,natcheck的结论并没有错,只是由于iptables具有状态检测的新特性导致即使在特殊情况下iptables又从Port restricted Cone变成了Symmetric NAT而已。

  那么,有办法解决这一问题吗?根据连接跟踪的特性,在iptables下,只要启用了NAT,就肯定要启用连接跟踪功能,而只要启用了连接跟踪功能,就必然顺带跟踪普通包过滤(启用连接跟踪后,似乎无法控制不让跟踪普通包过滤),也就是说,只要用NAT,就无法避免上述情况,真残酷!然而,这却是事实,即只要两端都采用了iptables作为NAT,则尽管两侧都通过了natcheck的兼容性测试,但iptables两侧永远也不能互相穿越。

  在“iptables与stun”一文中曾经提到,Win2000下的ics或nat在Stun协议下的表现和iptables是完全一样的。那么,在natcheck下,表现是否还一致呢?答案是否定的,虽然Win2000下的ics或nat也具有状态检测的功能,但该状态检测,仅对NAT起作用,不对普通包过滤起作用。所以在两侧都是Win2000下的ics或nat可以作为Port restricted Cone的特殊情况下,是允许被穿越的。另外,在一侧使用iptables,另一侧使用Win2000下的ics或nat,但两者都表现为Port restricted Cone的特殊情况下,从某个方向发起,最终是允许互相穿越的,但是这种穿越不具有对称性,即从另一个方向发起,则永远无法穿越,具体原理,读者可以参考例2自行分析。

  解决办法

  原理:一般的NAT设备,对于接收到的UDP数据包,只有当内部已经有发送到这个数据包的源地址和源端口的数据包时,才会转发给内部主机。否则会丢弃。这个原理只适应UDP协议而不适应TCPIP协议。

  步骤:

  1)A直接向B的NAT设备地址Bnat发送UDP包,该包一般情况下【取决于B的NAT设备类型】会被B的NAT抛弃,但是通过发送该包,A的NAT设备打开了一个可以接收来自B的NAT设备的UDP数据包的"通道";

  2)A通过server向B的NAT设备地址Bnat转发UDP包,请求B向A的NAT设备地址Anat发送UDP包。因为B已经向server发送过UDP包,B的NAT设备会将该请求包转发给B。

  3)此时,B向A的NAT设备地址Anat发送UDP包,因为在第1)步中,A的NAT设备已经打开了通道,该包会由A的NAT设备正确转发给A。同时,B的NAT设备也打开了一个可以接收来自A的NAT设备的UDP包的"通道"。

  4)此后,A可以和B直接通过Anat和Bnat进行UDP通讯,不需要通过server了。

  5)还有一点值得提到,以后,A或者B中的任何一个,都可以作为另外一个和第3方如C之间建立UDP连接的中转Server(即上文中的Server)

  6)另外,对于多级NAT情况,上面提到的UDP端口反弹技术,都可以自动适应。

通过阅读文章,我们不难发现iptables与natcheck都挺好用的,感兴趣的朋友可以和朋友试试!

【编辑推荐】

 

责任编辑:赵鹏 来源: 网络转载
iptablesnatcheck
相关推荐
iptablesstun
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文介绍下iptables与stun的知识。

2011-03-15 13:39:14

iptablesstun
iptables asterisk
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。上篇我给大家讲了iptables下开放ftp连接,本文为大家讲下iptables与asterisk的故事。

2011-03-17 17:24:48

iptables简介安装命令
iptables简介与安装命令:Linux提供了一个非常优秀的防火墙工具iptables,它完全免费、功能强大、使用灵活,可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。本文介绍的是iptables简介与安装命令

2011-03-15 15:47:25

iptables安装命令
iptables 总结应用心得
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。在前面的文章中为大家介绍了iptables的配置和命令,本文将总结下iptables相关知识供大家参考!

2011-03-15 11:05:03

Linux防火墙的IPtables设置用法
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文为大家讲下Linux防火墙的IPtables设置与用法,供大家参考。

2011-03-15 17:25:38

Linux防火墙(Iptables)的开启关闭
Linux防火墙(Iptables)的开启与关闭:iptables是Linux内核集成的IP信息包过滤系统,如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux上更好地控制IP信息包过滤和防火墙配置。本文讲述的是Linux防火墙(Iptables)的开启与关闭。

2011-03-15 09:10:42

Linux防火墙Iptables
iptables 范例
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。通过大量的资料大家都知道了iptables了,本文为大家讲的是iptables范例,通过例子让你更好的学习iptables

2011-03-17 17:19:24

iptables
iptables的基础知识-iptables规则
iptables规则:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,详细地来讲iptables包在转发时是怎样被送出呢?本文介绍的是iptables的基础知识iptables规则。

2011-03-18 09:26:13

Iptables规则
iptables实例
iptables实例:iptables是与最新的Linux内核集成的IP信息包过滤系统,它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。本文将介绍iptables实例。

2011-03-15 09:59:59

iptables实例
Kube-Proxy中使用IpvsIptables的比较
kubeproxy就可以通过Service的Informer感知到APIServer中service和endpoint的变化情况。而作为对这个事件的响应,它就会在宿主机上创建这样一条iptables规则(你可以通过iptablessave看到它)。

2021-10-13 16:00:53

KubeProxyIptables
iptables的基础知识-iptables中的ICMP
iptables的基础知识iptables中的ICMP:iptabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在Linux2.4以后的内核中,它可以实现iptables防火墙、NAT(网络地址翻译)和数据包的分割等功能。本文介绍的是iptables的基础知识iptables中的ICMP。

2011-03-16 11:17:56

IptablesICMP
iptables规则小结
本文详细的讲述了iptables规则里的细节部分和内容矫正。

2011-03-17 17:45:45

iptables规则
iptables配置工具
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。配置iptables其实不简单,但是用对iptables配置工具那就简单多了,看看我是怎么操作的!

2011-03-15 14:01:13

iptables nat实验
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文将讲述一个iptables的nat实验过程。

2011-03-15 16:26:46

iptablesnat
Iptables 配置指南
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。光知道iptables的概念是不行的,我们得知道如何去配置Iptables,从而进一步使用和了解他,本文为大家描述下Iptables配置过程!

2011-03-15 09:46:31

Iptables性能测试
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文将通过实验测试下Iptables的性能具体情况。

2011-03-15 16:34:36

Iptables性能
iptables的编译
iptables的编译:为了运行iptables,需要在内核配置期间,选择一些选项,无论用什么命令。本文讲述的是iptables的编译

2011-03-14 14:40:11

iptables编译
如何使用 IPTables
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。本文为大家介绍下如何使用IPTables。

2011-03-15 14:50:03

使用IPTables
iptables 学习笔记
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。iptables很好用很强大,本文是我整理出来的学习笔记,有iptables服务语法规则等。

2011-03-17 16:43:49

iptables相关脚本
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。一个iptables脚本献给大家。

2011-03-15 15:06:27

iptables脚本
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服