iptables DNAT vs xdp（ebpf）DNAT

场景描述

image.png

• 如上图，一共有三台服务器，从client访问nat服务器上的8889端口，实际上通过NAT服务器里的逻辑
  做DNAT之后，转发到了server服务器，最后访问server上的15006端口。
• NAT服务器有很多种方法可以做到DNAT， 其中可以通过iptables规则配置，也可以通过XDP ebpf程序来做到DNAT

iptables DNAT

阅读以下流程需要先了解iptables是如何使用的

配置规则

1.清除iptables中的其他干扰记录

$ iptables -F
$ iptables -t nat -F
$ iptables -X

2.配置iptables的DNAT规则

$ iptables -t nat -A PREROUTING -i eth0 -d 192.xxx.xx.114 -p tcp --dport 8889 -j DNAT --to 192.xxx.xx.113:15006

该条规则的意思是，在PREROUTING链中加一条规则，作用于eth0网卡，劫持IP为192.xxx.xx.114，端口号为8889的的流量，重定向到192.xxx.xx.113的15006端口

3.配置SNAT规则

$ iptables -t nat -A POSTROUTING -d 192.xxx.xx.113 -p tcp --dport 15006 -j SNAT --to-source 192.xxx.xx.114

• 该条规则的作用是，为了让client跟server能正常连接
• 因为clent是直接与NAT服务器，所以client并不认识server服务，需要把来自server(192.xxx.xx.113:15006端口)的流量，源地址改成nat(192.xxx.xx.114), 这样client就能认识并且正常通信了

具体可以参考文章
how-to-do-the-port-forwarding-from-one-ip-to-another-ip-in-same-network

xdp DNAT

阅读以下流程需要先了解一下什么是XDP，以及什么是ebpf/bpf

源码

https://github.com/Netronome/bpf-samples/blob/master/nat/nat_kern.c

编译代码

$make

$ ls
demo  Makefile  nat  nat_common.h  nat_kern.c  nat_kern.ll  nat_kern.o  nat_user.c  README.rst

会发现生成了nat_kern.o文件以及nat可执行程序

规则配置

$ ./nat -i eth0 -S load nat_prog&
$ ./nat mapfill nat_prog key_daddr 192.xxx.xx.114 key_dport 8889 val_saddr 192.xxx.xx.114 val_daddr 192.xxx.xx.113 val_dport 15006 val_dmac 52:xx:xx:xx:xx:3c aggressive_reap 0