2.3.7 NatCmd命令

NatCmd和NAT相关,本节首先介绍NAT的背景知识。

1.背景知识介绍[25]

在传统TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发。即路由器不会对转发的数据包进行修改。准确地讲,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。而NAT恰恰是出于某种特殊需要而对数据包的源IP地址、目的IP地址、源端口、目的端口进行改写的操作。

什么情况下需要NAT(Network Address Translation,网络地址转换)呢?假设想在公司内网搭建一个WWW服务器以对外发布信息。由于公司内网使用的都是内部IP,故无法向外网发布该服务。这时就可通过NAT来解决这个问题。比如网管可在防火墙的外部网卡上绑定多个合法IP地址,然后通过NAT技术使发给其中某一个IP地址的包转发至这个内部的WWW服务器上,然后再将该内部WWW服务器的响应包伪装成该合法IP发出的包。

NAT分为两种,分别是源NAT(SNAT)和目的NAT(DNAT),顾名思义,SNAT就是改变转发数据包的源地址,DNAT就是改变转发数据包的目的地址。Linux系统上的NAT操作是通过iptables的nat表来完成,该表有三条默认Chain,它们分别如下。

·PREROUTING:可在此定义目的NAT的规则,因为路由器进行路由时只检查数据包的目的IP地址,所以为了使数据包得以正确路由,必须在路由之前就进行目的NAT。

·POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后再执行该链中的规则。

·OUTPUT:定义对本地产生的数据包的目的NAT规则。

此处给出使用iptables进行NAT转换的两个例子。

  1. //更改所有来自192.168.1.0/24的数据包的源IP地址为1.2.3.4:
  2. iptables-t nat-A POSTROUTING-s 192.168.1.0/24-o eth0-j SNAT--to 1.2.3.4
  3. //更改所有来自192.168.1.0/24的数据包的目的IP地址为1.2.3.4:
  4. iptables-t nat-A PREROUTING-s 192.168.1.0/24-i eth1-j DNAT--to 1.2.3.4

2.NatCmd命令使用

NatCmd仅支持"enable"和"disable"两个命令选项。不过和上一节介绍的不同,Android中的NAT并不是只利用iptables的nat表来做转换,而是借助ip route命令和iptables的filter表在源和目标网络设备及指定IP地址之间进行地址转换。以"enable"选项为例,其使用方式如下。

  1. ndc nat enable lo wlan0 1 202.106.25.35/14

其中:

·lo为本地回环设备、代表输入设备。

·wlan0为无线NIC,代表输出设备。

·1代表后面的地址组合只有一个。

·202.106.25.35/14指明IP地址和子网掩码。

以上面的命令为例,NatCmd执行它所涉及的iptables命令的调用序列如下所示。

  1. iptables-A natctrl_FORWARD-i eth0-o lo-m state--state ESTABLISHEDRELATED-j RETURN
  2. iptables-A natctrl_FORWARD-i lo-o eth0-m state--state INVALID-j DROP
  3. iptables-A natctrl_FORWARD-i lo-o eth0-j RETURN
  4. iptables-D natctrl_FORWARD-j DROP
  5. iptables-A natctrl_FORWARD-j DROP
  6. iptables-t nat-A natctrl_nat_POSTROUTING-o eth0-j MASQUERADE
  7. #MASQUERADE能自动读取eth0现在的IP地址然后做SNAT
  8. #这样就避免了每次eth0地址发生改变时都需更新iptables的烦恼

注意 上边的命令中并没有利用传递的IP地址,这是因为这些地址和ip命令的多路由策略管理有关,只有使用了多路由策略管理,这些IP地址才能被ip命令用上。由于代码中没有任何说明,所以笔者也很难理解这部分内容。如果有知晓的读者,还请和大家一起分享相关知识。

根据上面的iptables调用命令,读者也能猜测出enableNat的目的是修改来自源设备的数据包,使它看起来是目标设备发出的数据包。

图2-23所示为利用ndc在Galaxy Note 2测试nat命令的结果。

2.3.7 NatCmd命令 - 图1

图2-23 iptables查看natctrl_FORWARD规则

图2-23所示为利用ndc nat enable rmnet0 wlan0 0添加nat规则后,再通过iptables-S查看natctrl_FORWARD链的具体规则时得到的结果。

注意 其中TCPMSS这条规则应该是三星公司自己添加的,不过令人匪夷所思的是该命令竟然打出了"FIX ME!"这样的输出。看来,网络管理的确是一个很有技术含量的活。