前言
NAT:网络地址转换(Network Address Translation),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP封包通过路由器或防火墙时重写來源IP地址或目的IP地址的技术。
简单来说在数据传输中,经过7层网络结构时,为了实现三次握手,就需要在发送数据的时候告诉目的地你的位置,以便对方可以回复,但是在数据报中只有起点域和目的域,不可能所有的终端都是点对点连接的,这时候就需要一个中转站来传递消息数据,这里只讨论软件来实现 nat,路由器的由于基本不会直接操作,就没查资料了。
iptables 实现 NAT
iptables 作用的 5 条规则链中,有两条是 PREROUTING、POSTROUTING,分别代表的是路由前和路由后,iptables 就是实现 nat 的一种方式。
检查系统是否开启了 ip 转发功能:
cat /etc/sysctl.conf| grep 'net.ipv4.ip_forward = 0'
开启转发功能:
sed -i 's/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf
在 iptables 中添加 NAT 转换规则:
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.1
上面这条规则会将访问 80 端口的所有请求都转发给 192.168.1.1
添加数据返回规则:
iptables -t nat -I POSTROUTING -p tcp --dport 80 -j MASQUERADE
这样请求就会被防火墙修改 ip 地址,而转发出去。
rinetd 实现
阿里云的帮助文档里面提供了一种通过 rinetd 的方法(不过配置说明方面写的容易让人误会,我第一次就没看明白,还也为是注释),看名字就知道这是一款用来实现 nat 的,很简洁配置也方便,毕竟是专门用来做 nat 的。
官网下载编译安装:
wget http://www.boutell.com/rinetd/http/rinetd.tar.gz
tar -xvf rinetd.tar.gz
cd rinetd && mkdir /usr/man && make && make install
不需要 configure 生成 Makefile。
配置:
vim /etc/rinetd.conf
0.0.0.0 80 192.168.1.1 80
0.0.0.0 代表源地址,可做限制
80 请求的端口
192.168.1.1 转发的目的地址
80 目的端口
全网请求在 80 端口的都会被 NAT 到 192.168.1.1 的 80 端口上。
rinetd -c /etc/rinetd.conf
启动 rinetd
Nginx 实现 NAT
nginx 并没有围绕着传统的 nat 去实现转换,传统的 nat 只能满足一个 ip 一个端口的转发模式,但是如果有几个 ip 都希望得到同一个端口的转发呢?
把转发从之前的 3 层和 4 层的 ip 加端口的映射提高到应用层来实现,通过域名的不同来转发至不同的 Ip,术语称为反向代理。
nginx 是一款很好用的反向代理工具,配置文件向较与 apache 来说更好理解,关于代理还有很多软件,proxy 相关的模块很多。
配置反向代理
通过域名的不同,nginx 会把请求转发给 192.168.1.1 和 192.168.1.2 两个服务器,这样就实现了一个简单的域名转发功能。
nginx 的请求都是由反向代理传递给后端服务器的,所有后端服务器获取的访问 ip 地址都是反向代理服务器的,想要获取真实的访问 ip,如果后端服务器也是 nginx ,那么就需要修改后端服务器的 nginx 日志格式:
这样就可以在 access 日志中打印出访问的真实 IP 了。
来源:oschina
链接:https://my.oschina.net/u/2470065/blog/783888