linux2.4中netfilter_nat_alg机制分析--以FTP流程为例，分析NAT和ALG

以FTP流程为例，分析NAT和ALG

网络环境：

×5＋6＝1286）

创建×5＋6＝1286)，更新skb的应用层信息（这里应用层信息还是×5＋6＝1286）

创建×5＋6＝1286）

创建×5＋6＝1286)，更新skb的应用层信息（这里应用层信息修改为“227 Entering PORT Mode(202,100,100,1,5,6)\r\n”）

/************数据连接开始***************/

阶段四：

src/dst/sport/dport： 202.100.100.2/202.100.100.1/20/1286  server->client

SYN data connection

1． PREROUTING

Conntrack：ip_conntrack_in中，得到

tuple：

tuple.src.ip=202.100.100.2;

tuple.dst.ip=202.100.100.1;

tuple.dst.protonum=tcp;

tuple.src.u.tcp.port=20;

tuple.dst.u.tcp.port=1286;

这是一个新的tuple，所以调用init_conntrack，得到反向tuple：

repl_tuple：

repl_tuple.src.ip=202.100.100.1;

repl_tuple.dst.ip=202.100.100.2;

repl_tuple.dst.protonum=tcp;

repl_tuple.src.u.tcp.port=1286;

repl_tuple.dst.u.tcp.port=20;

conntrack->tuplehash[IP_CT_DIR_ORIGINAL].tuple = *tuple;

conntrack->tuplehash[IP_CT_DIR_ORIGINAL].ctrack = conntrack;

conntrack->tuplehash[IP_CT_DIR_REPLY].tuple = repl_tuple;

conntrack->tuplehash[IP_CT_DIR_REPLY].ctrack = conntrack;

通过expected = LIST_FIND(&ip_conntrack_expect_list, expect_cmp,struct ip_conntrack_expect *, tuple);，可以得到其所属exp，并找到conntrack->helper

最后，有：

__set_bit(IPS_EXPECTED_BIT, &conntrack->status);

conntrack->master = expected;

expected->sibling = conntrack;

至此，控制报文和数据报文建立如下关系：

控制报文的conntrack：

IP_CT_DIR_ORIGINAL：src/dst/sport/dport：192.168.1.2/202.100.100.2/3333/21

IP_CT_DIR_REPLY：src/dst/sport/dport：202.100.100.2/202.100.100.1/21/2222

控制报文有conntrack_help的handle处理；

数据报文的conntrack：

IP_CT_DIR_ORIGINAL：src/dst/sport/dport：202.100.100.2/202.100.100.1/20/1286

IP_CT_DIR_REPLY：src/dst/sport/dport：202.100.100.1/202.100.100.2/1286/20

数据报文的conntrack_help为NULL；

它们之间联系用的exp为：

exp_ftp_info->port = 256*5+6 = 1286；

exp.tuple.src.ip=202.100.100.2;

exp.tuple.dst.ip=202.100.100.1;

exp.tuple.dst.protonum= IPPROTO_TCP;

exp.tuple.src.u.all=0;

exp.tuple.dst.u.tcp.port=1286;

设置*ctinfo = IP_CT_RELATED;（相关）

NAT：ip_nat_fn中，得到skb的conntrack信息，并得到info = &ct->nat.info。显然，这个conntrack是新的，并没有nat.info。并且，这个conntrack是有exp的，所以，会进行call_expect操作。

这里进入的就是ftp的expect函数：ftp_nat_expected：

首先，获取conntrack->master，就是ftp的控制连接的conntrack；以及exp_info信息；

由于是PORT模式，所以得到：

newdstip = master->tuplehash[IP_CT_DIR_ORIGINAL].tuple.src.ip;//192.168.1.2

newsrcip = master->tuplehash[IP_CT_DIR_ORIGINAL].tuple.dst.ip;//202.100.100.2

由于HOOK2MANIP(hooknum) == IP_NAT_MANIP_DST，所以得到：

newip = newdstip; //192.168.1.2；

建立mr信息：

mr.rangesize=1;

mr.range[0].flags= IP_NAT_RANGE_MAP_IPS | IP_NAT_RANGE_PROTO_SPECIFIED;

mr.range[0].min_ip=192.168.1.2;

mr.range[0].max_ip=192.168.1.2;

mr.range[0].min= exp_ftp_info->port;

mr.range[0].max= exp_ftp_info->port;

然后，调用ip_nat_setup_info，得到：

orig_tp：src/dst/sport/dport：202.100.100.2/202.100.100.1/20/1286;

new_tp：src/dst/sport/dport：202.100.100.2/192.168.1.2/20/4444;

reply_tp：src/dst/sport/dport：192.168.1.2/202.100.100.2/4444/20;

inv_tp：src/dst/sport/dport：202.100.100.1/202.100.100.2/1286/20;

通过ip_conntrack_alter_reply，更改数据报文的reply方向的tuple为：src/dst/sport/dport：192.168.1.2/202.100.100.2/1286/4444

建立nat_info：

/*用于ORIGINAL方向的报文的DNAT

manip.direction=IP_CT_DIR_ORIGINAL;

manip.hooknum=NF_IP_PRE_ROUTING;

manip.maniptype=IP_NAT_MANIP_DST;

manip.manip.ip=192.168.1.2;

manip.manip.u.tcp.port=4444;

*/

/*用于REPLY方向的报文的SNAT

manip.direction=IP_CT_DIR_REPLY;

manip.hooknum=NF_IP_POST_ROUTING;

manip.maniptype=IP_NAT_MANIP_SRC;

manip.manip.ip=202.100.100.1;

manip.manip.u.tcp.port=1286;

*/

这里由于conntrack->master存在，所以不会挂接help

从而得到数据连接的新的conntrack：

IP_CT_DIR_ORIGINAL：src/dst/sport/dport：202.100.100.2/202.100.100.1/20/1286

IP_CT_DIR_REPLY：src/dst/sport/dport：192.168.1.2/202.100.100.2/4444/20

然后，调用do_bindings，进行skb的地址转换：由：

202.100.100.2/202.100.100.2/20/1286更改为：202.100.100.2/192.168.1.2/20/4444

2．POSTROUTING

Conntrack：ip_refrag，不处理conntrack相关；

NAT：ip_nat_fn中，得到skb的conntrack信息，并得到info = &ct->nat.info。直接调用do_bindings：

由于不满足

info->manips[i].direction == dir

&& info->manips[i].hooknum == hooknum

故不进行地址变换处理（实际上在PREROUTING中已经转变过了，这里不需要再做了）；

阶段五：

src/dst/sport/dport：192.168.1.2/202.100.100.2/4444/20  client->server

SYN＋ACK data connection

1． PREROUTING：

Conntrack：ip_conntrack_in中，得到：

tuple：

tuple.src.ip=192.168.1.2;

tuple.dst.ip=202.100.100.2;

tuple.dst.protonum=tcp;

tuple.src.u.tcp.port=4444;

tuple.dst.u.tcp.port=20;

它正好是conntrck->tuplehash[IP_CT_DIR_REPLY]方向的tuple记录信息

*ctinfo = IP_CT_ESTABLISHED + IP_CT_IS_REPLY;

set_bit(IPS_SEEN_REPLY_BIT, &ct->status);

NAT：ip_nat_fn中，得到先前建立的NAT地址信息表：info = &ct->nat.info，

进入do_bindings，但由于不满足：

info->manips[i].direction == dir

&& info->manips[i].hooknum == hooknum

故不处理；

且没有helper

2． POSTROUTING

Conntrack：ip_refrag，不处理conntrack相关；

NAT：ip_nat_fn中，得到skb的conntrack信息，并得到info = &ct->nat.info。直接调用do_bindings：

满足

info->manips[i].direction == dir（IP_CT_DIR_REPLY）

&& info->manips[i].hooknum == hooknum（NF_IP_POST_ROUTING）

故进行SNAT转换，skb的地址转换：由：

192.168.1.2/202.100.100.2/4444/20更改为：202.100.100.1/202.100.100.2/1286/20

无helper

/***********************总结*******************************/

1． Netfilter：提供一个5个hook点的框架；

2． Conntrack：记录报文的运行轨迹。包括ORIGINAL和REPLY两个方向；

3． NAT：依据iptables的NAT规则，建立Conntrack的nat_info信息，并更改报文的地址信息；

4． ALG：用于更改某些报文的应用层中的地址信息；

处理模式：

1.       控制报文：

² PREROUTING：

Ø Conntrack：建立新的Conntrack信息：ORIGINAL＋REPLY；

Ø NAT：无

² POSTROUTING：

Ø Conntrack：无

Ø NAT：根据iptables规则，建立该Conntrack的nat_info：SNAT＋DNAT，并更改报文地址；并更改Conntrack中记录的REPLY方向的tuple信息（地址改为NAT处理后的值）

2.       应用层含有数据连接地址信息的控制报文：

² PREROUTING：

Ø Conntrack：找到已经建立的Conntrack信息；利用conntrack->help，建立exp结构，建立所exp的tuple信息

Ø NAT：可能不处理 或者 利用nat->help更新应用层报文中的地址信息，并更改exp中的地址信息

² POSTROUTING：

Ø Conntrack：无

Ø NAT：可能不处理 或者 利用nat->help更新应用层报文中的地址信息，并更改exp中的地址信息

3． 数据报文到达：

² PREROUTING：

Ø Conntrack：建立新的Conntrack信息：ORIGINAL＋REPLY；且正好就是要expect的tuple；故与控制报文的Conntrack关联上；

Ø NAT：通过调用nat->exp函数，利用控制报文的Conntrack信息，建立自己的nat_info：SNAT＋DNAT；并更改Conntrack中记录的REPLY方向的tuple信息（地址改为NAT处理后的值）

² POSTROUTING：

Ø Conntrack：无

Ø NAT：利用自己的nat_info，更改报文的地址信息

---