NAT后無(wú)法在內(nèi)網(wǎng)通過外部IP訪問內(nèi)部服務(wù)的問題

2019-11-04 20:47:16

字體：大中小

供稿：網(wǎng)友

　　這是個(gè)理論問題，我們先從NAT講起：NAT有兩種基本類型，一種是SNAT（Source NAT)，一種是DNAT(Dest. NAT).SNAT即源NAT是改變數(shù)據(jù)包的ip層中的源IP地址，一般是用來將不合法的IP外出請(qǐng)求轉(zhuǎn)換成合法的IP的外出請(qǐng)求，就是普通的用一個(gè)或者幾個(gè)合法IP來帶動(dòng)一整個(gè)非法IP段接入。 DNAT即目的NAT，就是改變數(shù)據(jù)包的目標(biāo)IP地址，使得能對(duì)數(shù)據(jù)包重新定向，可以用做負(fù)載均衡或者用于將外部的服務(wù)請(qǐng)求重定向到內(nèi)網(wǎng)的非法IP的服務(wù)器上。
　　
　　那么之所以會(huì)出現(xiàn)無(wú)法在DNAT的內(nèi)部網(wǎng)絡(luò)通過DNAT服務(wù)的外部IP地址來訪問的情況，是因?yàn)椋偃绶?wù)從內(nèi)部請(qǐng)求，那么經(jīng)過DNAT轉(zhuǎn)換后，將目標(biāo)IP改寫成內(nèi)網(wǎng)的IP地址，譬如172.16.10.254,而請(qǐng)求的機(jī)器的IP是 172.16.10.100,數(shù)據(jù)包被網(wǎng)關(guān)172.16.10.1順利的重定向到172.16.10.254的服務(wù)端口，然后，192.16.10.254根據(jù)請(qǐng)求發(fā)送回應(yīng)給目的IP地址，就是172.16.10.100,但是，問題出現(xiàn)了，因?yàn)?72.16.10.100請(qǐng)求的地址是外部IP 假設(shè)是221.232.34.56,所以他等待著221.232.34.56的回應(yīng)，而172.16.10.254的回應(yīng)請(qǐng)求被看做是非法的，被丟棄了。這就是問題的所在了。
　　
　　那么如何解決這個(gè)問題，我說個(gè)用iptables實(shí)現(xiàn)的例子，
　　
　　#我們先把發(fā)向外網(wǎng)IP221.232.34.56 80號(hào)端口的數(shù)據(jù)重定向到172.16.10.254 理論上來講，假如只要從外網(wǎng)訪問，這就完成了。
　　iptables -t nat -A PREROUTING -p tcp -d 221.232.34.56 --dport 80 -j DNAT --to-destination 172.16.10.254
　　#解決內(nèi)網(wǎng)通過外網(wǎng)IP訪問的情況
　　iptables -t nat -A POSTROUTING -p tcp -d 172.16.10.254 --dport 80 -j SNAT --to-source 172.16.10.1
　　
　　我們將內(nèi)網(wǎng)的請(qǐng)求強(qiáng)行送回到網(wǎng)關(guān)172.16.10.1，依靠網(wǎng)關(guān)在內(nèi)核建立的狀態(tài)表再轉(zhuǎn)發(fā)到真實(shí)的請(qǐng)求地址172.16.10.100.
　　
　　當(dāng)然，這并不是最好的解決方法，最好的解決方法是將服務(wù)器放在另外一個(gè)網(wǎng)段，也就是說所謂的DMZ（解除武裝區(qū)），這樣就不會(huì)出現(xiàn)上面所說的問題了。

上一篇：使用測(cè)試TCP(TTCP)測(cè)試吞吐量

下一篇：X通公司IP規(guī)范書