基于IP Filter的NAT透析
三、IP Filter NAT机理分析
IP Filter的功能主要包括过滤和 路由 两部分,所以该防火墙软件包有两个主要工具-IPf和IPnat。IPf可以实现数据报过滤,上一节就用到了IPf 命令来使pass in/our all过滤规则生效, 路由 功能则由IPnat来实现,IPnat命令用来读取并执行用户设定的 路由 规则。
3.1 用map指令来共享IP地址
为了让192.168.0.0/24(24=3×8即三个字节的子网)的电脑可以共享一个外网IP来访问互联网,用一条最基本的两条rules就可以实现,如下所示:
map rl1 192.168.0.0/24 -> 202.115.65.225/32 portmap tcp/udp 10000:39999
map rl1 192.168.0.0/24 -> 202.115.65.225/32 这两条rules从字面上很好解释,即在网卡rl1上把192.168.0.*(/24表示3字节的子网掩码,标识一个C类网段的所有IP地址)网段的所有IP地址和IP地址202.115.65.225(/32表示4字节的子网掩码,唯一标识一个IP地址)进行单向映射,portmap的用处是告诉防火墙把内网客户机的端口进行临时存储时的映射范围为10000-39999,具体原理在下面将详述。
图3-1 内网用户访问外网WEB服务器的映射过程
从图3-1中,内网中IP地址为192.168.0.3的PC客户机欲访问外网的IP地址为202.108.249.134的web服务器,连接过程如下:
①建立连接阶段(SYN第一次握手):客户机先建立一个随机的TCP端口1413准备和web服务器的80端口连接,但由于它们不在同一个网段,所以请求连接的SYN数据报被发送到了和客户机在同一个网段的网关服务器,在这里网关服务器就是我们的防火墙兼 路由 器,所以数据报在数据链路层会先发送至我们的防火墙的内网卡,从下面捕获的数据报中可以看到,数据报的以太帧的目的地址是网关的MAC地址。网关即防火墙收到该数据报之后解开IP报取出目的IP地址,发现目的地址是外网IP所以在内部就转发到外网卡rl1,rl1会按照IPnat设置的转发规则,把在192.168.0.*发来的数据报接受下来,然后改变IP头中的源地址为它的IP地址(202.115.65.225),map指令会把内部客户端的IP和端口号暂时保存在一个临时 路由 表中以便接受到返回的数据报时可以正确地交付给客户端,客户机的端口号并不是直接保存起来,而是防火墙先在portmap的范围内找到一个端口和其一一对应起来保存,前面的设置portmap的范围为10000:39999的原因主要是因为这个范围的端口一般不会被防火墙上本身自己的监听端口相同,如果端口冲突的话会导致严重问题,这种暂存功能在防火墙过滤中也经常被使用,Ipf规则中的keep state就是用来在屏蔽外网数据进入的状态下把内网的请求端口号临时保存到一张 路由 表中以便返回数据报可以顺利被接收。
图3-2 嗅探器捕获的内网访问外网web服务器的数据报
②对方确认阶段(SNY ACK第二次握手):外网WEB服务器接收到了以202.115.65.225为源地址的连接请求,所以它会自动发会一个SYN连接请求并捎带一个ACK 确认数据报,这个数据报将被防火墙外网卡rl1接收,防火墙收到后分析IP包的端口号并从临时 路由 表中计算出该数据报应该转发到哪一个客户机,当然在我们的例子中它会把该数据报发还给192.168.0.3的客户机,正如图3-2②所示。
③连接的最后确认(ACK 第三次握手):内网客户机收到WEB服务器的ACK+SYN数据报
后认为连接已经成功了,然后发送最后一个确认数据报给对方,防火墙对该数据报的处理步骤同①。
④发送HTTP连接请求:客户机发送的第一个携带HTTP数据的包从这里开始,第一个数据报是HTTP连接请求。
⑤WEB服务器回复数据报:WEB服务器顺利接收到HTTP请求马上给予回复的数据报,数据报如果标号是200则表示HTTP连接正常,接下来就可以把对方请求的WEB页传给客户机。
完成了上面的5个过程,一个对用户透明的HTTP连接就建立了起来,对于客户端的用户来说,好像是直接连接到WEB服务器上去的,这都有赖于IPnat的功劳。
3.2用rdr指令实现NAT转换
为了让外网的客户机可以通过IP 202.115.65.225访问到位于内网中的web、mail、Ftp服务器,IPnat的rule相应的设置为:
rdr rl1 202.115.65.225/32 port 80 -> 192.168.0.221 port 80
rdr rl1 202.115.65.225/32 port 21 -> 192.168.0.251 port 21
rdr rl1 202.115.65.225/32 port 25 -> 192.168.0.251 port 25
rdr rl1 202.115.65.225/32 port 110 -> 192.168.0.251 port 110
这条规则从字面上也很好解释,rdr是rewrites destination addresses的意思,其功能是把防火墙上接收到的数据报改变目的地址(转发)到另外的一台或多台主机上,上面的指令可以解释为,把rl1(外网卡)上接收到的数据报按照指定的端口转发到指定的位于内网的服务器上,80、21、25、110分别代表web、Ftp、smtp和pop3服务,所以这四条指令会把外网对防火墙的web、Ftp和mail请求转发到IP为192.168.0.251内网服务器上,下面以web服务为例来分析其工作流程。
如图3-3所示,IP地址为202.115.65.38的客户端欲用IP地址202.115.65.225访问位于局域网内部的IP地址为192.168.0.221的WEB服务器,连接过程如下:
图3-3 外网客户访问内网WEB服务器的过程
图3-4 从外网客户机上捕获的数据报
①发起连接阶段(SYN):客户机202.115.65.38建立临时端口1123发起对202.115.65.225的 80(http)端口的连接请求。该连接请求被传送到了防火墙的外网卡rl1上,按照前面设置的IPnat的规则,防火墙会把在rl1上对80端口的请求数据报要改变其目的地址为192.168.0.221后转发给目的主机。
②服务器确认阶段(SYN ACK第二次握手):对于位于内网的web服务器来说,虽然它收到的HTTP连接请求是防火墙转发给它的,但是转发过程没有改动IP数据包的头信息,仅仅改动了数据链路层的地址信息,所以它以为请求是直接从202.115.65.38上发出的,因此它会立刻给202.115.65.38发确认数据报,这个过程其实等于202.115.65.38是外网服务器,192.168.0.221是内网客户端,数据报的转发过程和我们上一节讨论的map机制完全一样,数据报会透明地被转发到202.115.65.38,只不过数据报的源IP地址被防火墙改为了202.115.65.225,如果没有设置前面的 map规则,数据包将无法回送,连接会失败告终。从图3-4的第2步我们可以清晰看到外网客户端接收到了返回的确认数据报。
③连接的最后确认(ACK 第三次握手):外网客户端回送确认数据报给内网web服务器,这个过程和第一步类似不再详述。
④-⑤是HTTP连接建立,和上一节类似。
3.3用bimap指令实现NAT转换
bimap指令可以说是map指令的增强版,map实现的是单向映向,而bimap能够实现双向的同时映向,它其实实现了rdr+map的功能,其主要应用到你想把所有的外部请求都转换到内网的一台服务器上或几台运行相同服务的负载均衡服务器群上。比如上面提到的案例中的192.168.0.251是一个身兼多职的综合服务器,设置如下bimap规则后对外部来说202.115.65.225就等同于192.168.0.251,对 202.115.65.225的web、mail、DNS、telnet等等访问会一股脑地发给192.168.0.251,用rdr来实现同样的效果则必须每个服务作一个转换。
bimap rl1 192.168.0.251/32 -> 202.115.65.225/32
bimap rl1 202.115.65.225/32 -> 192.168.0.251/32 在我的试验中,上面两个规则都能达到同样的效果,这也充分的说明了该指令执行的是双向的映射。虽然bimap使用起来如此简单,但是bimap并没有被广泛使用,原因非常简单,因为它只能把外部数据报转到内网的一台主机上(负载均衡服务器群组其实相当于一台服务器),如果想把web、Ftp、 email服务器分别让两台以上的主机充当用bimap将无法做到,所以rdr被广泛推崇和采纳。
由于前面已经比较详尽的分别分析了rdr和map的工作机理,对于bimap来说就是rdr和map的组合,所以本文将不做详细介绍。
|
