Cisco与Linux的NAT-Linux实现Cisco风格的NAT

wheat

既然看到了Cisco的NAT比较灵活，那么Linux能否实现呢？答案是肯定的！因为Linux的Netfilter是超级灵活的，Linux的NAT不灵活是因为iptables程序的不灵活，xtables-addons的RAWNAT已经朝static nat迈出了重要的一步，是iptables限制了Linux的static nat发展！于是我抛开iptables，先基于Netfilter把内核模块实现，然后用procfs作为用户接口，看看怎么实现Cisco风格的static nat。顺带说一句，之所以做这个程序，是因为我们在产品中真的遇到了这个需求，玩过SIP和FTP的都知道，然而因为工期受限，又怕自己做的这个不稳定，效率也没有优化，因此只能放在这里玩玩，不登大雅之堂。　　首先，我们看一下基本原理，我们不希望一条NAT绑定任何N元组或者说流，只是一个一对一的地址映射，以源地址转换为例，在从内到外的方向将源地址A转换为B，在从外到内的方向将源目标地址B转换为A！必须记住，任何时候，源地址转换都在POSTROUTING上来做，而目标地址转换都在PREROUTING上来做，按照上述的陈述，以下图说明：

http://img.blog.csdn.net/20130516201420039

　　有了上图作为指示，我们就知道该怎么做了：
　　1.内核中维护一个映射表，仅仅映射两个地址；
　　2.在PREROUTING和POSTROUTING两个HOOK点上基于上述的映射表执行NAT动作；
　　3.实现一个用户接口，可以从用户态进行地址映射的配置
　　以上3点比较容易实现，实际上使用xtables-addons的RAWNAT其实也能实现static nat，然而要想实现两个方向的自动匹配NAT，必然要配置两条甚至多条，最蛋疼的就是明明就是一条映射，非要写成match的形式，所以还是做成Cisco风格的吧。不管怎样，下面的这个代码的实际nat部分还是使用了RAWNAT的代码！
　　代码如下：
#include <linux/ip.h> #include <linux/ipv6.h> #include <linux/module.h> #include <linux/skbuff.h> #include <linux/tcp.h> #include <linux/udp.h> #include <linux/list.h> #include <linux/sysfs.h> #include <linux/fs.h> #include <linux/proc_fs.h> #include <linux/version.h> #include <linux/netfilter.h> #include <net/ip.h> #include &quot;compat_xtables.h&quot;  static inline __be32 remask(__be32 addr, __be32 repl, unsigned int shift) { uint32_t mask = (shift == 32) ? 0 : (~(uint32_t)0 >> shift); return htonl((ntohl(addr) & mask) | (ntohl(repl) & ~mask)); }  static void rawnat4_update_l4(struct sk_buff *skb, __be32 oldip, __be32 newip) { struct iphdr *iph = ip_hdr(skb); void *transport_hdr = (void *)iph + ip_hdrlen(skb); struct tcphdr *tcph; struct udphdr *udph; bool cond;  switch (iph->protocol) { case IPPROTO_TCP: tcph = transport_hdr; inet_proto_csum_replace4(&tcph->check, skb, oldip, newip, true); break; case IPPROTO_UDP: case IPPROTO_UDPLITE: udph = transport_hdr; cond = udph->check != 0; #if LINUX_VERSION_CODE >= KERNEL_VERSION(2, 6, 19) cond |= skb->ip_summed == CHECKSUM_PARTIAL; #endif if (cond) { inet_proto_csum_replace4(&udph->check, skb, oldip, newip, true); if (udph->check == 0) udph->check = CSUM_MANGLED_0; } break; } }  static unsigned int rawnat4_writable_part(const struct iphdr *iph) { unsigned int wlen =>//echo +172.16.4.34-128.129.4.34 >/proc/STATIC_Nat/source struct proc_dir_entry *nat_entry = NULL;  static ssize_t write_snat(struct file *file, const char __user *buf,   >　　如此就可以实现Cisoc风格的NAT了。代码的优化空间还是有很多的，比如list可以换成hash...