熟悉nat和conntrack的高手进来指导下，谢谢！

shaohui973

环境背景：
                                                     linux服务器
话机1   ------------------------
                                           |fm1-gb0 --- fm1-gb1| ----------------------dsp
话机2   ------------------------

使用服务器隔离dsp和外部网络，话机1和话机2都处在外部网络。
话机1：  10.0.1.60
话机2：  10.0.1.50

服务器：对外网口 10.0.1.10
             对内网口  192.100.1.1

dsp：   192.100.1.100

linux version: 2.6.38

现象(以话机2发送RTP为例说明)：
   1) 如果在话机发送第一个RTP或RTCP之前，先配置NAT规则：
      iptables -t nat -A PREROUTING -d 10.0.1.10 -p udp --dport 10000 -j DNAT --to-destination 192.100.1.100:10000
      iptables -t nat -A POSTROUTING -s 10.0.1.50 -p udp --sport 11780 -j SNAT --to-source 192.100.1.1:10000
      则，话机2发送的RTP包可以通过NAT规则的转换，并将包发往DSP

    2)如果在话机发送第一个包之后才设置NAT规则，则话机2发送的RTP包无法通过NAT规则的转换，最终死在路由的结果上，返回icmp,code = 3, type =3 (目的端口不可达)

追踪内核源码，发现如下：
当收到第一个包时，新建了链接跟踪(nf_conntrack_in)，然后进入NAT表在PREROUTING链路上的操作。
在nf_nat_fn中
nf_nat_fn()
{
      switch(ctinfo)
      {
              case  IP_CT_NEW:
              {
                      /* ct->staus 在进行了一次nat match匹配后，会调用target函数 ipt_snat_table或者ipt_dnat_table来设置
                       * ，并且将转换操作的规则信息nat_info转换成一个tuple，挂到ct上，后续的NAT转换就不用再查NAT规则了。
                       */
                     if(!nf_nat_initalized())   /* 第一包会进入 */
                     {
                            nf_nat_rule_find();
                     }
              }
      }

     nf_nat_packet(); /* 会调用manip_pkt()来修改ip和port */
}

nf_nat_rule_find()
{
      ret = ipt_do_table();
      if (NF_ACCEPT == ret)
              if(!nf_initialized())
                      ret = alloc_null_binding();
      
      return ret;
}

在ipt_do_table中，由于我们刚启动时，清空了nat规则表，所以查match时，是没有任何能匹配的，acpar.hotdrop == false。
这个查找应该返回NF_DROP(直接丢弃，后面的操作也不用了)，并且，ct->status的SNAT和DNAT应该不会被设置啊。但是，从我在nf_nat_find中的打印来看，后续的包好像都没进入这个nf_nat_find函数，这个怎么解释呢？？？

独孤九贱

shaohui973 发表于 2013-11-20 15:47
环境背景：
                                                     linux服务器
话机1   -------------- ...
2)如果在话机发送第一个包之后才设置NAT规则，则话机2发送的RTP包无法通过NAT规则的转换，最终死在路由的结果上，返回icmp,code = 3, type =3 (目的端口不可达)

或许是我没有完全明白你的意思。

但是我的理解的，第二个包本来就不应该去查NAT规则，所以当然就不会进行地址转换了。

shaohui973

回复 2# 独孤九贱

第二个包为什么不去查？第一包到达时，由于此时还没有设置NAT规则，则nf_find_rule查找匹配失败，返回NF_ACCEPT;由于是查找失败的，所以没有机会调用对应的target函数---ipt_snat_target或ipt_dnat_target，也就没有机会设置ct->status为DNAT或者SNAT。既然没机会设置，那第二包到达时，它判断ct->status没有设置DNAT或SNAT，不是还会调用nf_find_rule去查找规则。

或许，是不是还有什么地方会设置这个ct->status？？？


   

瀚海书香

回复 3# shaohui973

第二个包为什么不去查？第一包到达时，由于此时还没有设置NAT规则，则nf_find_rule查找匹配失败，返回NF_ACCEPT;由于是查找失败的，所以没有机会调用对应的target函数---ipt_snat_target或ipt_dnat_target，也就没有机会设置ct->status为DNAT或者SNAT。既然没机会设置，那第二包到达时，它判断ct->status没有设置DNAT或SNAT，不是还会调用nf_find_rule去查找规则。

或许，是不是还有什么地方会设置这个ct->status？？？

呵呵。你应该仔细看看代码，nat的PREROUTING只对NEW state的数据包操作，也就是说只对链接的第一个数据包操作，之后的数据包都之间走conntrack，不会再走nat规则。
   

独孤九贱

楼上说得很正确。
简单地讲，nat信息放在conntrack中的，如果一个流已经有了conntrack，但是conntrack中没有nat信息，直接就走了，否则就进行nat，只有新建会话的报文才会进行规则的匹配。

shaohui973

回复 4# 瀚海书香


    你是说，第一个包之后，CT就不是NEW状态了吗？我对CT这块没了解，指导下我，谢谢。

    如果按你说的，第一个包到达时，如果没有NAT规则，则CT中是没有nat信息的，然后路由之后，linux回复icmp也算是CT的另一个方向有数据包经过，CT就进入另一个状态？？？照这么解释的话，在nf_nat_fn进入的是default分支.

瀚海书香

回复 1# shaohui973

你是说，第一个包之后，CT就不是NEW状态了吗？我对CT这块没了解，指导下我，谢谢。

是的。