iptables与stun

文章由LinuxBoy分享于2019-03-26 04:03:25热评（190）

iptables与stun

iptables与stun是一对朋友，互相帮忙，互相补短！

iptables与stun

Stun协议(Rfc3489、详见http://www.ietf.org/rfc/rfc3489.txt)将NAT粗略分为4种类型，即Full Cone、Restricted Cone、Port Restricted Cone和Symmetric。举个实际例子来说明这四种NAT的区别：

A机器在私网(192.168.0.4)

NAT服务器(210.21.12.140)

B机器在公网(210.15.27.166)

C机器在公网(210.15.27.140)

现在，A机器连接过B机器，假设是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)。

同时A从来没有和C通信过。

则对于不同类型的NAT，有下列不同的结果：

Full Cone NAT：C发数据到210.21.12.140:8000，NAT会将数据包送到A(192.168.0.4:5000)。因为NAT上已经有了192.168.0.4:5000到210.21.12.140:8000的映射。

Restricted Cone：C无法和A通信，因为A从来没有和C通信过，NAT将拒绝C试图与A连接的动作。但B可以通过210.21.12.140:8000与A的192.168.0.4:5000通信，且这里B可以使用任何端口与A通信。如：210.15.27.166:2001 -> 210.21.12.140:8000，NAT会送到A的5000端口上。

Port Restricted Cone：C无法与A通信，因为A从来没有和C通信过。而B也只能用它的210.15.27.166:2000与A的192.168.0.4:5000通信，因为A也从来没有和B的其他端口通信过。该类型NAT是端口受限的。

Symmetric NAT：上面3种类型，统称为Cone NAT，有一个共同点：只要是从同一个内部地址和端口出来的包，NAT都将它转换成同一个外部地址和端口。但是Symmetric有点不同，具体表现在：只要是从同一个内部地址和端口出来，且到同一个外部目标地址和端口，则NAT也都将它转换成同一个外部地址和端口。但如果从同一个内部地址和端口出来，是到另一个外部目标地址和端口，则NAT将使用不同的映射，转换成不同的端口(外部地址只有一个，故不变)。而且和Port Restricted Cone一样，只有曾经收到过内部地址发来包的外部地址，才能通过NAT映射后的地址向该内部地址发包。

现针对Symmetric NAT举例说明(承接前例):

A机器连接过B机器，假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8000)-> B(210.15.27.166:2000)

如果此时A机器(192.168.0.4:5000)还想连接C机器(210.15.27.140:2000)，则NAT上产生一个新的映射，对应的转换可能为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:8001)-> C(210.15.27.140:2000)。此时，B只能用它的210.15.27.166:2000通过NAT的210.21.12.140:8000与A的192.168.0.4:5000通信， C也只能用它的210.15.27.140:2000通过NAT的210.21.12.140:8001与A的192.168.0.4:5000通信，而B或者C的其他端口则均不能和A的192.168.0.4:5000通信。

通过上面的例子，我们应该清楚了Stun协议对NAT进行分类的依据。那么，我们现在根据上述分类标准(或例子)，来简要分析一下iptables的工作原理，看看他又是属于哪种NAT呢?

首先，我们去网上下载一个使用Stun协议检测NAT的工具，网址在http://sourceforge.net/projects/stun/，使用该工具对iptables的检测结果是Port restricted NAT detected。

我们先不要急着接受这个检测结果，还是先来分析一下iptables的工作原理吧!

iptables在转换地址时，遵循如下两个原则：

1、尽量不去修改源端口，也就是说，ip伪装后的源端口尽可能保持不变。

2、更为重要的是，ip伪装后只需保证伪装后的源地址/端口与目标地址/端口(即所谓的socket)唯一即可。

仍以前例说明如下：

A机器连接过B机器，假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)。(注意，此处NAT遵循原则1、故转换后端口没有改变)

如果此时A机器(192.168.0.4:5000)还想连接C机器(210.15.27.140:2000)，则NAT上产生一个新的映射，但对应的转换仍然有可能为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)。这是因为NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)和NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)这两个socket不重复。因此，对于iptables来说，这既是允许的(第2条原则)、也是必然的(第1条原则)。

在该例中，表面上看起来iptables似乎不属于Symmetric NAT，因为它看起来不符合Symmetric NAT的要求：如果从同一个内部地址和端口出来，是到另一个目标地址和端口，则NAT将使用不同的映射，转换成不同的端口(外部地址只有一个，故不变)。相反，倒是符合除Symmetric NAT外的三种Cone NAT的要求：从同一个内部地址和端口出来的包，NAT都将它转换成同一个外部地址和端口。加上iptables具有端口受限的属性(这一点不容置疑，后面举反例证明之)，所以好多检测工具就把iptables报告为Port restricted NAT类型了。

下面仍以前例接着分析：

在前例中增加D机器在私网(192.168.0.5)

A机器连接过B机器，假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)

D机器连接过C机器，假使是 D(192.168.0.5:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)

由iptables转换原则可知，上述两个转换是允许且必然的。

如果此时A机器(192.168.0.4:5000)还想连接C机器(210.15.27.140:2000)，则NAT上产生一个新的映射，但对应的转换则变为A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5001)-> C(210.15.27.140:2000)。这是因为，如果仍然将其转换为210.21.12.140:5000的话，则其所构成的socket(210.21.12.140:5000->210.15.27.140:2000)将和D->C的socket一致，产生冲突，不符合iptables的第2条原则。(注意，此处以5001表示转换后不同的端口，但事实上，iptables却并不按照内部端口+1的原则来产生新的端口)。

在本例中，从同一个内部地址和端口(192.168.0.4:5000)出来，到另一个目标地址和端口，则NAT使用了不同的映射，转换成不同的端口。显然，该现象又满足了Symmetric NAT的要求，同时不能够满足Cone NAT的要求。

我们再来回顾一下Stun协议对Cone NAT的要求：所有(或只要是)从同一个内部地址和端口出来的包，NAT都将它转换成同一个外部地址和端口。虽然iptables在大部分情况下满足“从同一个内部地址和端口出来的包，都将把他转换成同一个外部地址和端口”这一要求，但它不能在所有情况侣阏庖灰蟆K岳砺凵希颐蔷椭荒馨裪ptables归为Symmetric NAT了。(但在事实上，按照前面例子或者Stun协议里给出的Discovery Process，大部分情况下对iptables的检测结果必然是Port restricted NAT)

为什么会出现上述矛盾的情况呢，关键在于Stun协议和iptables对映射的理解不同。Stun协议认为，一个映射的要素是：内部地址端口和NAT转换后地址端口的组合。而在iptables看来，一个映射的要素是：NAT转换后地址端口和外部目标地址端口的组合。

下面，我们再来分析一下iptables的端口受限的属性，我们举一个反例证明之，仍以前例说明如下：

A机器连接过B机器，假使是 A(192.168.0.4:5000)-> NAT(转换后210.21.12.140:5000)-> B(210.15.27.166:2000)

D机器连接过C机器，假使是 D(192.168.0.5:5000)-> NAT(转换后210.21.12.140:5000)-> C(210.15.27.140:2000)

现假设iptables不具有端口受限的属性，则另一E机器在公网(210.15.27.153:2000)或C(210.15.27.140:2001)向210.21.12.140:5000发包的话，应该能够发到内部机器上。但事实是，当这个包到达NAT(210.21.12.140:5000)时，NAT将不知道把这个包发给A(192.168.0.4:5000)还是D(192.168.0.5:5000)。显然，该包只能丢弃，至此，足以证明iptables具有端口受限的属性。

所以，iptables是货真价实的Symmetric NAT。

附：

1、Stun全称Simple Traversal of UDP Through NATs，所以本文所涉及的包，皆为UDP包。

2、本文虽然是针对linux下iptables的分析，但倘若把本文中关键词“iptables”换成“Win2000下的ics或nat”，则本文的分析过程完全适用于Win2000下的ics或nat。即理论上Win2000下的ics或nat也是货真价实的Symmetric NAT，但实际上，大部分情况下，检测结果必然是Port restricted NAT。为什么Win2000下的ics或nat和iptables的分类是如此一致呢?因为Win2000下的ics或nat在进行NAT转换时，遵循和iptables完全一样的两个原则。

通过文章，我们可以清楚的知道iptables与stun的知识。希望对你们有用！

iptables 添加模块HOWTO
netfilter/iptables模块功能介绍
iptables 源码分析
iptables 总结与应用心得
如何利用netfilter/iptables构建防火墙
Iptables 命令和命令说明
squid+iptables网关防火墙的实现
Iptables 实例分析
Iptables 详细介绍

推荐文章：

iptables与stun