网段地址转换 —— NETSNAT NETDNAT target源码

Godbach

代码里的一些数值，比如 41， 37 之类的，建议用宏定义一下。
也好明白这些数值是什么意思

瀚海书香

这条规则怎么理解？


这个为什么后面  192.168.2.0/24-192.168.3.0/24 是这样的，不是就转到192.168. ...
Godbach 发表于 2011-02-27 08:15

POSTROUTING上的规则，是内网访问外网时进行的源地址伪装。
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j NETSNAT --netsnat 192.168.2.0/24-192.168.3.0/24
比如内网192.168.2.3访问外网时，源地址会相应的变成192.168.3.3；而192.168.2.88会变成192.168.3.88。


PREROUTING上的规则，是对外网对内网的访问进行重定向。
iptables -t nat -A PREROUTING -d 192.168.3.0/24 -j NETDNAT --netdnat 192.168.3.0/24-192.168.2.0/24
比如外网的机器访问192.168.3.2，相应的就会转到内网的192.168.2.2的机器。




如果只是实现内网向外网访问的伪装，那么只需要POSTROUTING上的NETSNAT的规则就可以了。

如果只是对外网对内网的访问重定向，那么只需要PREROUTING上的NETDNAT的规则就可以了。

如果内网既要访问外网，而且也允许外网访问内网。那么就需要两条规则了。

Godbach

POSTROUTING上的规则，是内网访问外网时进行的源地址伪装。
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j NETSNAT --netsnat 192.168.2.0/24-192.168.3.0/24
比如内网192.168.2.3访问外网时，源地址会相应的变成192.168.3.3；而192.168.2.88会变成192.168.3.88。

这里有两个疑问：
（1） 按照你上面的描述，为什么规则不写成

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j NETSNAT --netsnat 192.168.3.0/24

是为了保证一一对应关系吗？
（2）你这里实现的是网段到网段的转换是吧

比如内网192.168.2.3访问外网时，源地址会相应的变成192.168.3.3

这个对应是固定的吗，能否实现将源网段转换成目标网段随机的 IP

瀚海书香

代码里的一些数值，比如 41， 37 之类的，建议用宏定义一下。
也好明白这些数值是什么意思
Godbach 发表于 2011-02-27 08:25

多谢提出意见，已改动。

Godbach

另外一个小建议，能否把你的代码以附件的形式上传一份。

瀚海书香

回复 13# Godbach

（1） 按照你上面的描述，为什么规则不写成
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j NETSNAT --netsnat 192.168.3.0/24

是为了保证一一对应关系吗？

对的。是为了方便获取参数。

（2）你这里实现的是网段到网段的转换是吧
比如内网192.168.2.3访问外网时，源地址会相应的变成192.168.3.3
这个对应是固定的吗，能否实现将源网段转换成目标网段随机的 IP

现在的映射是一一对应的。也就说要求你虚拟的网段跟源网段的掩码是一样的。

随机映射的情况，目前还没有遇到这种需求，所以就没有实现。

Godbach

1. #ifndef _IPT_NETSNAT_H_target
   
2. #define _IPT_NETSNAT_H_target
   
3. #define NETSIZE 37  // maxsize of net to net is : strlen(xxx.xxx.xxx.xxx/yy-xxx.xxx.xxx.xxx/yy)=37
   
4. struct ipt_NETSNAT_info{
   
5.         char netsnat[NETSIZE+1];
   
6.         unsigned int excursion;
   
7.         int flag;//flag=1 means destnet is big than sourcenet;
   
8.                          //flag=0 means destnet is small than sourcenet.
   
9. };
   
10. #endif

复制代码

原先的那个 41 不用了啊

excursion 的作用是？

Godbach

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j NETSNAT --netsnat 192.168.3.0/24

这个要求源和目的网段是在通过一个网段吗？

瀚海书香

回复 17# Godbach
   

原先的那个 41 不用了啊

excursion 的作用是？

一开始用41是为了方便，因为最大37，所以没有刻意的要求。
用NETSIZE+1就可以了，节省空间啊，呵呵

excursion是两个网段的偏移。 比如：192.168.3.0/24-192.168.5.0/24的偏移就是 inet_network(192.168.5.0)-inet_network(192.168.3.0)
这样做转换的时候，就可以用(源地址+excursion）来得到转换后的源地址。当然了，如果目的网络比源网络要小，这时候info->flag=0,就用(源地址-excursion)


要求两个网络的掩码一样大就可以了，也就是源网络的IP必须在目的网络中一一对应。192.168.4.0/24-10.0.2.0/24,192.168.0.0/16-172.16.0.0/16，这些都是可以的。

Godbach

要求两个网络的掩码一样大就可以了，也就是源网络的IP必须在目的网络中一一对应。192.168.4.0/24-10.0.2.0/24,192.168.0.0/16-172.16.0.0/16，这些都是可以的。

哦，你计算了偏移，那么只要掩码一样，源和目的的网段数量一致即可。像下面的这样应该也没问题：
192.168.1.128/25-192.168.3.0/25