基于 Netfilter 的NAT 技术与其应用_.pdfVIP

基于 Netfilter 的NAT 技术及其应用* 乐德广 郭东辉, 吴伯僖 厦门大学技术物理研究所 福建厦门 361005 摘要 NAT 技术是为了解决 IPv4 网络地址空间的不够 而提出的一种过渡技术 并由于其 简单 高效的特性 而得到了广泛的应用 本文详细介绍了 NAT 技术及在 Linux 2.4 内核中 基于 Netfilter 框架的 NAT 实现原理 并结合实验室的网络建设 给出其在实验室网络建设 中应用实例 关键词 NAT Netfilter Iptables 中图分类号 TP393.03 1 引言 随着 Internet 的飞速发展 IP 地址短缺已成为一个十分突出的问题 使得 Internet 本身 的发展遇到了障碍 面对这个问题 业界提出了各种的解决方案 由于现有基于类的 IPv4 地址体系结构的低效率 无法从根本上解决 IP 地址短缺的问题 因此从长期的角度看 IPv6 是最终的解决手段 但是 IPv6 的全面实现还需要一段很长的时间 这样 就需要有过渡的 解决方法 来暂时解决 IP 地址耗尽的问题 为此人们开发出了许多扩展 IP 地址的方法 如 使用子网掩码[1] VLSM Variable Length Subnet Masks [2] CIDR Classless Inter-Domain Routing [3]等技术以提高 IPv4 地址空间的使用效率 另一个得到广泛应用的方法就是 NAT Network Address Translation 技术[4] 它允许在内部网络使用保留 IP 地址的主机连入 Internet 使得 Internet 上的主机数可以大大多余可用的实际 IPv4 地址数 本文首先介绍了 NAT 技术 并详细阐述了其在 Linux 2.4 中基于 Netfilter 框架的实现原理 最后给出基于 Netfilter 的NAT 网关应用实例 2 NAT 技术 2 1 NAT 技术简介 所谓 NAT 就是在内部网络中使用 IETF Internet Engineering Task Force 在 RFC1918 中 定义的不可路由的保留 IP 地址 ~55 ~55 ~55 当内部主机要访问 Internet 上的资源时 在边缘路由器或者网 关处通过 NAT 技术将保留地址替换成可路由的全局 IP 地址 实现内部网络与 Internet 的透 明通信 NAT 作为一种过渡解决手段 是对 IPv4 地址体系结构的补充 用来减少对全局 IP 地址的需求 2 2 NAT 的类型 一般 NAT 可分为静态地址转换和动态地址转换 静态地址转换是最简单的一种转换方 式 它在 NAT 转换映射表中为每一个需要转换的内部保留地址创建一个固定的转换条目 称为简单条目 映射唯一的全局地址 保留地址与全局地址一一对应 每当内部主机与外界 通信时 保留地址就会转化为对应的全局地址 * 本文工作得到国家自然科学基金项目 No福建省自然科学基金项目 No: A0010019 和福 建省高新技术项目等经费的资助 作者简介 乐德广 男 1975年10月 厦门大学物理系博士研究生; 通 讯联系人: 郭东辉教授(博导). 动态地址转换在边缘路由器或网关中定义了一个全局地址池 当内部主机要与外界进行 通信时 如果是第一次与外接连接 则边缘路由器或网关将会动态的从 NAT 地址池中选择 一个全局地址对内部保留地址进行地址转换 并记录在 NAT 转换映射表中 每个转换条目 在连接建立时动态建立 当连接终止时被释放 这样 网络的灵活性大大增强 并提