IP之NAT（二）

4.2.5 NAT的实现

Source nat的hook name是NF_INET_POST_ROUTING，Destination nat的hook name是NF_INET_PRE_REOUTING和NF_INET_LOCAL_OUT。

建立source nat和destination nat的hook的数据结构(在/net/ipv4/netfilter/nf_nat_rule.c )：

nat的hook 函数，如nf_nat_in , nf_nat_out ,nf_nat_local_fn , and nf_nat_fn(在/net/ipv4/netfilter/nf_nat_standalone.c )

 

nf_nat_standalone_init()用来初始化，然后它调用nf_nat_rule_init() 来注册iptables，然后再调用nf_register_hooks() 来建立 NAT hook functions。执行NF_INET_PRE_ROUTING , NF_INET_LOCAL_OUT , and NF_INET_POST_ROUTING的函数分别是nf_nat_in() , nf_nat_local_fn() 和nf_nat_out()，上面的3个函数最终调用nf_nat_fn()来执行nat的操作。

 

上图为nf_nat_fn()的调用关系图。nf_nat_fn()从sk_buff中获得链接跟踪信息，如果nfctinfo 是 IP_CT_NEW并且nat 没有被初始化，则alloc_null_binding()被调用，也就是，Nat规则还没有建立时。否则，nf_nat_rule_find()被调用。这两个函数都会执行nf_nat_setup_info()来做地址转换。在nf_nat_setup_info()中，get_unique_tuple()被调用，然后它再调用find_appropriate_src()来查询ipv4.nat_bysource（如果是snat的话）。如果查找失败了，get_unique_tuple()会调用find_best_ips_proto()来获得一个新的tuple。

 

对ftp的影响

IP layer转换后，helper被调用，比如说，ftp的helper function nf_nat_ftp()被调用，如果数据包中包含PORT or PASV command，则mangle_rfc959_packet()被调用；如果数据包中包含EPRT command(PORT command for IPv6)，则mangle_eprt_packet()被调用；如果数据包中包含EPSV command，则mangle_epsv_packet()被调用。所有的上面的函数都调用nf_nat_mangle_tcp_packet()来处理TCP的序列号和checksum recomputation。

（完）

 

                                            [此为原创，转载请标明出处，谢谢！]