1.1 简介

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。

1.2 分类

NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port-Level NAT）。

其中，网络地址端口转换NAPT（Network Address Port Translation）则是把内部地址映射到外部网络的一个IP地址的不同端口上。它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与 动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的端口号。

NAPT是使用最普遍的一种转换方式，在HomeGW中也主要使用该方式。它又包含两种转换方式：SNAT和DNAT。

(1)源NAT（Source NAT，SNAT）：修改数据包的源地址。源NAT改变第一个数据包的来源地址，它永远会在数据包发送到网络之前完成，数据包伪装就是一具SNAT的例子。

(2)目的NAT（Destination NAT，DNAT）：修改数据包的目的地址。Destination NAT刚好与SNAT相反，它是改变第一个数据懈的目的地地址，如平衡负载、端口转发和透明代理就是属于DNAT。

1.3 应用

NAT主要可以实现以下几个功能：数据包伪装、平衡负载、端口转发和透明代理。

数据伪装: 可以将内网数据包中的地址信息更改成统一的对外地址信息，不让内网主机直接暴露在因特网上，保证内网主机的安全。同时，该功能也常用来实现共享上网。

端口转发: 当内网主机对外提供服务时，由于使用的是内部私有IP地址，外网无法直接访问。因此，需要在网关上进行端口转发，将特定服务的数据包转发给内网主机。

负载平衡: 目的地址转换NAT可以重定向一些服务器的连接到其他随机选定的服务器。

失效终结: 目的地址转换NAT可以用来提供高可靠性的服务。如果一个系统有一台通过路由器访问的关键服务器，一旦路由器检测到该服务器当机，它可以使用目的地址转换NAT透明的把连接转移到一个备份服务器上。

透明代理: NAT可以把连接到因特网的HTTP连接重定向到一个指定的HTTP代理服务器以缓存数据和过滤请求。一些因特网服务提供商就使用这种技术来减少带宽的使用而不用让他们的客户配置他们的浏览器支持代理连接。

2 原理

2.1 地址转换

NAT的基本工作原理是，当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。

如下图所示，NAT网关有2个网络端口，其中公共网络端口的IP地址是统一分配的公共 IP，为202.20.65.5；私有网络端口的IP地址是保留地址，为192.168.1.1。私有网中的主机192.168.1.2向公共网中的主机202.20.65.4发送了1个IP包(Dst=202.20.65.4,Src=192.168.1.2)。

当IP包经过NAT网关时，NAT Gateway会将IP包的源IP转换为NAT Gateway的公共IP并转发到公共网，此时IP包（Dst=202.20.65.4，Src=202.20.65.5）中已经不含任何私有网IP的信息。由于IP包的源IP已经被转换成NAT Gateway的公共IP，Web Server发出的响应IP包（Dst= 202.20.65.5,Src=202.20.65.4）将被发送到NAT Gateway。

这时，NAT Gateway会将IP包的目的IP转换成私有网中主机的IP，然后将IP包（Des=192.168.1.2，Src=202.20.65.4）转发到私有网。对于通信双方而言，这种地址的转换过程是完全透明的。转换示意图如下。

如果内网主机发出的请求包未经过NAT，那么当Web Server收到请求包，回复的响应包中的目的地址就是私网IP地址，在Internet上无法正确送达，导致连接失败。

2.2 连接跟踪

在上述过程中，NAT Gateway在收到响应包后，就需要判断将数据包转发给谁。此时如果子网内仅有少量客户机，可以用静态NAT手工指定；但如果内网有多台客户机，并且各自访问不同网站，这时候就需要连接跟踪（connection track）。如下图所示：

在NAT Gateway收到客户机发来的请求包后，做源地址转换，并且将该连接记录保存下来，当NAT Gateway收到服务器来的响应包后，查找Track Table，确定转发目标，做目的地址转换，转发给客户机。

2.3 端口转换

以上述客户机访问服务器为例，当仅有一台客户机访问服务器时，NAT Gateway只须更改数据包的源IP或目的IP即可正常通讯。但是如果Client A和Client B同时访问Web Server，那么当NAT Gateway收到响应包的时候，就无法判断将数据包转发给哪台客户机，如下图所示。

此时，NAT Gateway会在Connection Track中加入端口信息加以区分。如果两客户机访问同一服务器的源端口不同，那么在Track Table里加入端口信息即可区分，如果源端口正好相同，那么在时行SNAT和DNAT的同时对源端口也要做相应的转换，如下图所示。

3 Linux下NAT实现

3.1 netfilter/iptables模块

netfilter/iptables（IP信息包过滤系统）是一种功能强大的工具，根据数据包过滤规则，对经过的网络数据包进行丢弃、改造、转发等处理。

netfilter组件也称为内核空间（kernelspace），是内核的一部分，由一些数据包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。

iptables组件是一种工具，也称为用户空间（userspace），它主要用来向用户提供添加、修改、删除内核中数据过滤表的接口。

3.2 基于netfilter/iptables的NAT

netfilter/iptables中的数据包过滤表有三种：filter、nat和mangle。

filter 表用于一般的信息包过滤，它包含 INPUT 、 OUTPUT 和 FORWARD 链。

nat 表用于要转发的信息包，它包含 PREROUTING 、 OUTPUT 和 POSTROUTING 链。

如果信息包及其头内进行了任何更改，则使用 mangle 表。该表包含一些规则来标记用于高级路由的信息包，该表包含 PREROUTING 和 OUTPUT 链。

filter 表用来过滤数据包，我们可以在任何时候匹配包并过滤它们。Mangle不经常使用还在开发当中。我们下面主要介绍Nat表来实现NAT功能。

(1)用户使用iptables命令在用户空间设置NAT规则。通过使用用户空间iptables命令，可以构建用户自己的定制NAT规则。所有规则存储在内核空间的nat表中。根据规则所处理的信息包类型，将规则分组在链中。要做SNAT的信息包被添加到POSTROUTING链中。要做DNAT的信息包被添加到PREROUTING链中。直接从本地出站的信息包的规则被添加到OUTPUT 链中。

(2)内核空间接管NAT工作.做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或 Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表，一个一个的被NAT，而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链改变本地产生的包的目的地址。下图是数据包穿越整个netfilter/iptables的流程图。

（3）NAT工作步骤：

DNAT：若包是被送往PREROUTING链的，并且匹配了规则，则执行DNAT或REDIRECT目标。为了使数据包得到正确路由，必须在路由之前进行DNAT。

路由：内核检查信息包的头信息，尤其是信息包的目的地。

处理本地进程产生的包：对nat表OUTPUT链中的规则实施规则检查，对匹配的包执行目标动作。

SNAT：若包是被送往POSTROUTING链的，并且匹配了规则，则执行SNAT或MASQUERADE目标。系统在决定了数据包的路由之后才执行该链中的规则。

目前最常用的方法是封掉P2P软件使用的端口范围，但这种做法做容易破解，只要在软件上重设一个端口就行了，该方法只能限制一小部份的用户；另一种方法就是分析协议，这种方法效率相对较低，因为要分析包内容，本文介绍的是后一种。

在Window平台是常用的一款软件是“P2P终结者”，没有仔细研究过，网上也有“反P2P终结者”这样的话，我想效果也是不太好的吧。文中介绍的是一种在Linux平台下基于Netfilter框架的包过滤机制。

注意本文仅适用于使用Linux作为网关或路由的用户，使用路由器的用户想要禁用P2P的话，可以买带有P2P管控的路由器如TL-WR541G+管控版等，使用DD-WRT的路由器可以参考以下文章：“从实例学习DD-WRT之封杀P2P”http://q.yesky.com/group/review-17574318.html。

参考DD-WRT的源码和网上其它文章，目前Linux下P2P过滤主要有两款工具：

IPP2P http://www.ipp2p.org/

L7-filter http://l7-filter.sourceforge.net/

以上都上基于Netfilter框架的需要下载、编译、安装，综合了源码的难易程序，规模大小，选择IPP2P作为介绍对象，详细信息大家可以参考其官网。

Netfilter框架主要包括Kernel层的包过滤机制和Userland用户层的iptables配置工具，用户通过iptables命令对Kernel层的Netfilter进行配置，实现包过滤。IPP2P就是在Netfilter中载入模块实现对网络包的分析、过滤；在iptables中也通过模块增加了过滤P2P包的选项。因此，安装IPP2P后，可以使用iptables命令来配置P2P过滤规则，也可以将其写入脚本文件实现自动化处理。

首先从IPP2P官网下载最新Src：http://www.ipp2p.org/downloads/ipp2p-0.8.2.tar.gz。里面共有6个文件：COPYING、README、Makefile、ipt_ipp2p.h、ipt_ipp2p.c、libipt_ipp2p.c。

COPYING是版权说明文件，该工具是基于GPL的；README介绍了安装方法、环境要求等，可以先阅读一下；Makefile编译用的；ipt_ipp2p头文件，里面定义了支持过滤的P2P协议、软件；ipt_ipp2p.c该文件是针对Kernel层的，包数据处理、分析模块；libipt_ipp2p.c该文件是针对iptables工具的，提供用户接口，包含帮助信息等。

ipt_ipp2p.c中在模块初始化函数中调用ipt_register_match(&ipp2p_match);注册P2P处理结构，ipp2p_match是一个结构体，包含一些参数，根据内核版本不同，结构体有所不同，里面主要调用一个函数static int match(const struct sk_buff *skb, …)，对于收到的包都通过这个函数进行分析，首先在match函数里分析是TCP协议还是UDP协议的包，然后根据用户配置信息，对不同的P2P协议进行匹配。

/*Search for UDP eDonkey/eMule/Kad commands*/
int udp_search_edk (unsigned char *haystack, int packet_len)
 
/*Search for UDP Gnutella commands*/
int udp_search_gnu (unsigned char *haystack, int packet_len)
 
/*Search for UDP KaZaA commands*/
int udp_search_kazaa (unsigned char *haystack, int packet_len)
 
/*Search for UDP DirectConnect commands*/
int udp_search_directconnect (unsigned char *haystack, int packet_len)
 
/*Search for UDP BitTorrent commands*/
int udp_search_bit (unsigned char *haystack, int packet_len)
 
/*Search for Ares commands*/
int search_ares (const unsigned char *payload, const u16 plen)
 
/*Search for SoulSeek commands*/
int search_soul (const unsigned char *payload, const u16 plen)
 
/*Search for WinMX commands*/
int search_winmx (const unsigned char *payload, const u16 plen)
 
/*Search for appleJuice commands*/
int search_apple (const unsigned char *payload, const u16 plen)
 
/*Search for BitTorrent commands*/
int search_bittorrent (const unsigned char *payload, const u16 plen)
 
/*check for Kazaa get command*/
int search_kazaa (const unsigned char *payload, const u16 plen)
 
/*check for gnutella get command*/
int search_gnu (const unsigned char *payload, const u16 plen)
 
/*check for gnutella get commands and other typical data*/
int search_all_gnu (const unsigned char *payload, const u16 plen)
 
/*check for KaZaA download commands and other typical data*/
int search_all_kazaa (const unsigned char *payload, const u16 plen)
 
/*fast check for edonkey file segment transfer command*/
int search_edk (const unsigned char *payload, const u16 plen)
 
/*intensive but slower search for some edonkey packets including size-check*/
int search_all_edk (const unsigned char *payload, const u16 plen)
 
/*fast check for Direct Connect send command*/
int search_dc (const unsigned char *payload, const u16 plen)
 
/*intensive but slower check for all direct connect packets*/
int search_all_dc (const unsigned char *payload, const u16 plen)
 
/*check for mute*/
int search_mute (const unsigned char *payload, const u16 plen)
 
/* check for xdcc */
int search_xdcc (const unsigned char *payload, const u16 plen)
 
/* search for waste */
int search_waste(const unsigned char *payload, const u16 plen)

以上函数就是对不同协议进行匹配的过程，它主要是通过Payload里的关键字进行匹配的，如果各位想自行添加对其它P2P软件的过滤如迅雷、PPLive等就需要抓包，分析协议供同点，在此新增处理函数，并且在matchlist、udp_list中增加相应的函数指针，更不要忘了在libipt_ipp2p.c增加相应的用户选项。

libipt_ipp2p.c就不多说了，主要是一些命令开关选项等，看到这里是不是感觉很简单呢，自己试试吧，当然有可能遇到很多问题，比如编译内核模块需要内核头文件；内核版本不同，相应的接口函数也不同，总之遇到问题不要害怕，仔细查找原理、解决。

如果还是嫌麻烦的话，已经有网友为我们修改了IPP2P，增加了以下特性：

1、修正部分BT和电驴的过滤特征码。

2、添加PPLive/PPStream/UUSee/QQLive/沸点网络电视/POCO/QVOD的过滤特征码，添加选项–pp，集合在–ipp2p选项中。

3、添加Vagaa的过滤代码在–edk中，集合在–ipp2p选项中。

4、添加迅雷/QQ超级旋风/百度下吧的过滤特征码，添加选项–xunlei，未集合在–ipp2p选项中。

参考发下这篇文章：“IPP2P模块修改版，最新0.99.16”http://linux.chinaunix.net/bbs/thread-914377-1-6.html。

查看最新的DD-WRT V24-SP1源码，好像没找到到IPP2P的身影，不过L7倒是有的，各位也可以去看看L7的工作原理。