使用iptables配置stateless NAT？我没有搞错。
可能你根本不知道这么多NAT的实现细节，或者说根本不在乎，那么本文就当是一个“如何编写iptables模块”的练习了。
实 际上，我已经实现了一个可以配置stateless NAT的内核模块了，但是它的接口是基于procfs的，并不是说这个接口不好用，而是我觉得如果能集成到iptables就更加perfect了，难道 不应该这样吗？有谁能忍受通过iptables和echo的方式配置两种NAT呢？难道不应该在一个iptables -L或者iptables-save命令中展示所有的配置吗？
       想法是一回事，实现是另一回事，二者之间需要有一个促成的动力，这个动力来自于一个陈年的帖子，大概是2004年的吧，那是我还在上学，那个帖子就是在讨 论关于Linux下stateless NAT的问题，时隔多年，如果你搜索相关的主题，依然没有太好的答案。也许是没有这方面的需求，但真的没有吗？我觉得不。在2.4内核时期，还可以通过 iproute2来配置stateless NAT，在2.6/3.X内核时期就只能用tc来配置了，不管怎么说，总是可以做到的，但是你不觉得太麻烦了吗？难道就不能像下面这样子配置一条 stateless NAT吗？
iptables -t nat -A PREROUTING -j STATIC-2-WAY-NAT --mapaddr 192.168.184.250-192.168.184.154 --type src
不 过请注意，iptables本身有一个默认的事实，那就是它是基于match和target的，它的句法是“如果...那么...”，这个句法在 static staleless NAT便不适合了，因为对于这种NAT而言，每添加一条规则，就会自动生成一条反转的规则，这样的话，“如果...那么...”就不行了，要想用 iptables配置stateless NAT，就必须仅仅将规则设置进内核，其它的都由独立的模块来做，换句话说，我们仅仅利用iptables的接口，而不使用它的match机制，因此我只 需要注册一个target，在这个target的checkentry回调中完成“设置规则(正反两个方向)”的操作，在destroy回调中完成“删除 规则”的操作，而target回调本身则什么都不做。幸亏target有这么两个回调函数，否则的话估计玩的还真的有点大。
       但是，千万别把checkentry/destroy这两个回调函数想得太简单，事实上，它们的调用机制远比你想象的要复杂得多，如果我说每添加一条规 则，该target的所有的规则都要重新checkentry一次，这可能有点抽象又不合情理，那么下面我就先说一下iptables规则的添加机制。 iptables添加/删除规则事实上操作的是两个规则集，即新的规则集replace旧的规则集，新旧规则集的区别在于对于添加操作新的规则集中多了一 条要添加的规则，对于删除操作新的规则集中少了一条要删除的规则。每一个规则集都是一块连续的内存，正是因为内存的连续性是一个要求(内存连续可以完全基 于offset来寻址，不必引入指针，完美利用局部性原理)，才会出现上述那种replace机制，因为每添加/删除一条规则规则集的大小就会发生变化。 以下的文字摘自我的代码注释：

代码我已经放在了github上了，不过还是在这里贴一份，作为备份吧。
       给出代码前，先看一下用法，这个STATIC-2-WAY-NAT模块目前一共以下几个参数：
--mapaddr a.b.c.d-A.B.C.D
必须参数。它将地址a.b.c.d转换为A.B.C.D，至于是转换源地址还是目标地址，就看该配置的类型是src还是dst以及数据的方向了。
--type [src|dst]
必须参数。指示转换的类型，src表示源地址转换，它将--mapaddr参数中的源地址为a.b.c.d的数据包的源地址转换为A.B.C.D，目标地址为A.B.C.D的数据包的目标地址转换为a.b.c.d；dst表示目标地址转换，解释类似src。
--proto [udp|tcp]
可选参数。指示转换的数据包协议类型，如果缺失这个参数，则代表所有协议。
--dev [ethX|...]
可选参数。指示参与地址转换的数据包的接收网卡和发送网卡。
--mapport p1-p2
可选参数。指示第四层协议的端口转换规则，仅仅针对udp和tcp，即如果有这个参数，则必须指定proto为udp或者tcp。
目 前的参数就以上这么多，日后会完善。使用方法很简单，为了好看那么一点点，我将我的NAT实现放在了nat表的PREROUTING和 POSTROUTING上，在写规则的时候，随便哪个ROUTING都行，实现并不关心，matches在理论上是没有用的，但是它可以对精确匹配到的数 据包屏蔽基于conntrack的原生NAT操作，这也算是一种副作用吧。
代码一共三个文件，可用但不完美，一条日志都没有打，也算一种拆弹方式...：

xt_STATIC-2-WAY-NAT.c：这是一个内核模块，实现了NAT的核心逻辑和iptables target接口

/* ** procfs接口的用法(已经禁用)：* 对目标地址为1.2.1.2的数据包做目标地址转换，目标转为192.168.1.8* echo +1.2.1.2 192.168.1.8 dst >/proc/net/static_nat* 上述命令会同时添加一条反向的SNAT映射** 上述命令添加协议支持：* echo +1.2.1.2 192.168.1.8 dst tcp >/proc/net/static_nat** 继续增加端口映射的支持：* echo +1.2.1.2 192.168.1.8 dst tcp port-map 1234 80 >/proc/net/static_nat** 请解释：* echo +192.168.184.250 192.168.184.154 src >/proc/net/static_nat** iptables接口的用法：* 见下面的详细注释。**/#include <linux/module.h>
#include <linux/skbuff.h>
#include <linux/ctype.h>
#include <net/ip.h>
#include <net/netfilter/nf_conntrack.h>#include <linux/netfilter/x_tables.h>
#include "xt_STATIC-2-WAY-NAT.h"static __be16 skip_atos(const char *s)
{__be16 i = 0;while (isdigit(*s)) {i = i * 10 + *((s)++) - '0';}return i;
}#define DIRMASK 0x11
#define BUCKETS 1024#define ENTRY_ADD   0x10
#define ENTRY_DEL   0x20#define NAT_OPT_DEL         0x01
#define NAT_OPT_FIND        0x04#define NAT_OPT_ACCT_BIT    0x02/** 记录统计信息*/
struct nat_account {u32 nat_packets;u32 nat_bytes;
};/** 这个entry数据结构的设计有两个选择：* 1.复杂模式：*      即将所有的信息都展现于entry本身，skb匹配过程根据skb本身的IP地址信息作为key，*      找到entry后再匹配第四层协议。* 2.简单模式：*      即设置多张保存简单entry(仅仅保存IP地址映射信息)的hlist，每个协议一张表，匹配*      时仅仅需要匹配从skb中取出的protocol相关的hlist即可。* 很明显，第二种效率更高，但是也更松散，本实现采用第一种，日后补充实现第二种。*/
struct static_nat_entry {__be32 addr[DIR_NUM];/* 该entry适用的第四层协议 */u_int8_t proto;union {__be16 all[DIR_NUM];struct {__be16 port[DIR_NUM];} tcp;struct {__be16 port[DIR_NUM];} udp;/* ...... */} u;enum nat_dir type;struct net_device *dev;struct nat_account acct[DIR_NUM];struct hlist_node node[DIR_NUM];
};/** 返回查询结果*/
struct map_result {__be32 addr;__be16 port;
};static DEFINE_SPINLOCK(nat_lock);/* 保存SNAT映射 */
struct hlist_head *src_list;/* 保存DNAT映射 */
struct hlist_head *dst_list;/** 用一个IP地址(对于PREROUTING是daddr，对于POSTROUTING是saddr)作为key来获取value。*/
static unsigned int get_address_from_map(unsigned int dir,__be32 addr_key,__be16 port_key,u8 proto_key,unsigned int opt,struct map_result *res,unsigned int datalen,const struct net_device *dev)
{unsigned int ret = -1;/* 首先匹配明细协议，然后再匹配通配协议 */int try = 1;__be32 cmp_key, ret_addr;u32 hash;struct hlist_head *list;struct hlist_node *iter, *tmp;struct static_nat_entry *ent;/* 将协议作为hash计算的一部分，可以让来自同一地址的连接散列效果更好，* 但是代价就是如果匹配不成功，则需要将协议设置为缺省通配协议，重新* 匹配一次。** 我的第一个版本在计算hash时并没有指定proto字段，第二个版本指定了，* 因为经过我模拟的压力测试表明，对于配置明细协议的规则而言，匹配* 会更加迅速。也就是说，这个效率和iptables是一样的，和你配置的规则* 有关，即：最好配置带有明细协议的规则，而不是配置通配规则(你考虑* 的少了，机器就要多考虑，反过来想让机器不考虑那么多，你自己就要* 多考虑！)*/
try_agin:hash = jhash_2words(addr_key, (__be32)proto_key, 1);hash = hash%BUCKETS;spin_lock(&nat_lock);if (dir == DIR_DNAT) {list = &dst_list[hash];} else if (dir == DIR_SNAT) {list = &src_list[hash];} else {spin_unlock(&nat_lock);goto out;}hlist_for_each_safe(iter, tmp, list) {ent = hlist_entry(iter, struct static_nat_entry, node[dir]);/* 注意反转 */cmp_key = (ent->type == dir) ?ent->addr[0]:ent->addr[1];ret_addr = (ent->type == dir) ?ent->addr[1]:ent->addr[0];if (addr_key == cmp_key) {__be16 cmp_port = (ent->type == dir) ?ent->u.all[0]:ent->u.all[1];__be16 ret_port = (ent->type == dir) ?ent->u.all[1]:ent->u.all[0];if (ent->proto != IPPROTO_MAX - 1 && ent->proto != proto_key) {continue;}/* 如果addr比较不通过，就无需下面的了 */if (cmp_port) {/* 如果port不参与比较，就无需下面的了 */if (cmp_port != port_key) {continue;}}if (dev && ent->dev && dev != ent->dev) {continue;}/* 实际上，上面的嵌套if完全可以用C的布尔逻辑搞定，但是那样的话if条件会很长 */ret = 0;res->addr = ret_addr;res->port = ret_port;try = try - 1;if (opt == NAT_OPT_DEL) {if (dir == ent->type) {hlist_del(&ent->node[0]);hlist_del(&ent->node[1]);if (ent->dev) {dev_put(ent->dev);}kfree(ent);} else {ret = -1;}}if (opt & NAT_OPT_ACCT_BIT) {ent->acct[dir].nat_packets ++;ent->acct[dir].nat_bytes += datalen;}break;}}spin_unlock(&nat_lock);if (try > 0) {try = try - 1;proto_key = IPPROTO_MAX - 1;goto try_agin;}
out:return ret;
}/** 处理第七层的函数* 它处理第七层协议中携带地址端口信息的情况。* 作为一个简单的例子，我用一个自定义的协议来举例：* ...||layer3||layer4||saddr|daddr||*/
static int process_l7(struct sk_buff *skb, unsigned int dir, __be32 newaddr, __be16 newport)
{int ret = 0;goto out;
out:return ret;
}static u8 get_l4_proto(struct sk_buff *skb)
{u8 ret = IPPROTO_MAX - 1;struct iphdr *iph = ip_hdr(skb);switch (iph->protocol) {case IPPROTO_TCP:ret = IPPROTO_TCP;break;case IPPROTO_UDP:ret = IPPROTO_UDP;break;default:ret= IPPROTO_MAX - 1;break;}return ret;
}static s16 get_l4_port(struct sk_buff *skb, unsigned int dir)
{struct iphdr *iph = ip_hdr(skb);void *transport_hdr = (void *)iph + ip_hdrlen(skb);struct tcphdr *tcph;struct udphdr *udph;__be16 ret = 0;switch (iph->protocol) {case IPPROTO_TCP:tcph = transport_hdr;if (dir == DIR_SNAT) {ret = tcph->source;} else if(dir == DIR_DNAT) {ret = tcph->dest;} else {ret = 0;}break;case IPPROTO_UDP:case IPPROTO_UDPLITE:udph = transport_hdr;if (dir == DIR_SNAT) {ret = udph->source;} else if(dir == DIR_DNAT) {ret = udph->dest;} else {ret = 0;}break;default:ret = 0;}return ret;
}static void set_l4_port(struct sk_buff *skb, unsigned int dir, __be16 port)
{struct iphdr *iph = ip_hdr(skb);void *transport_hdr = (void *)iph + ip_hdrlen(skb);struct tcphdr *tcph;struct udphdr *udph;switch (iph->protocol) {case IPPROTO_TCP:tcph = transport_hdr;if (dir == DIR_SNAT) {tcph->source = port;} else if(dir == DIR_DNAT) {tcph->dest = port;}break;case IPPROTO_UDP:case IPPROTO_UDPLITE:udph = transport_hdr;if (dir == DIR_SNAT) {udph->source = port;} else if(dir == DIR_DNAT) {udph->dest = port;}break;}
}/** 更新第四层的校验码信息*/
static void nat4_update_l4(struct sk_buff *skb,__be32 oldip, __be32 newip,__be16 oldport, __be16 newport)
{struct iphdr *iph = ip_hdr(skb);void *transport_hdr = (void *)iph + ip_hdrlen(skb);struct tcphdr *tcph;struct udphdr *udph;bool cond;switch (iph->protocol) {case IPPROTO_TCP:tcph = transport_hdr;inet_proto_csum_replace4(&tcph->check, skb, oldip, newip, 1);if (newport) {inet_proto_csum_replace2(&tcph->check, skb, oldport, newport, 0);}break;case IPPROTO_UDP:case IPPROTO_UDPLITE:udph = transport_hdr;cond = udph->check != 0;cond |= skb->ip_summed == CHECKSUM_PARTIAL;if (cond) {inet_proto_csum_replace4(&udph->check, skb, oldip, newip, 1);if (newport) {inet_proto_csum_replace2(&udph->check, skb, oldport, newport, 0);}if (udph->check == 0) {udph->check = CSUM_MANGLED_0;}}break;}
}/** 在POSTROUTING上执行源地址转换：* 1.正向源地址转换；* 2.目标地址转换的逆向源地址转换*/
static unsigned int ipv4_nat_out(unsigned int hooknum,struct sk_buff *skb,const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *))
{unsigned int ret = NF_ACCEPT, res = 0;struct map_result mres;struct iphdr *hdr = ip_hdr(skb);__be16 port = 0;u8 proto;port = get_l4_port(skb, DIR_SNAT);proto = get_l4_proto(skb);memset(&mres, 0, sizeof(mres));res = get_address_from_map(DIR_SNAT, hdr->saddr, port, proto, NAT_OPT_FIND|NAT_OPT_ACCT_BIT, &mres, skb->len, out);if (res) {goto out;}if (hdr->saddr == mres.addr) {goto out;}/* 执行SNAT */if (process_l7(skb, DIR_DNAT, mres.addr, mres.port)) {/* 如果第七层发生了改变，则重新计算相关校验码 */}csum_replace4(&hdr->check, hdr->saddr, mres.addr);nat4_update_l4(skb, hdr->saddr, mres.addr, port, mres.port);if (mres.port) {set_l4_port(skb, DIR_SNAT, mres.port);}hdr->saddr = mres.addr;
out:return ret;
}/** 在PREROUTING上执行目标地址转换：* 1.正向目标地址转换；* 2.源地址转换的逆向目标地址转换*/
static unsigned int ipv4_nat_in(unsigned int hooknum,struct sk_buff *skb,const struct net_device *in,const struct net_device *out,int (*okfn)(struct sk_buff *))
{unsigned int ret = NF_ACCEPT, res = 0;struct map_result mres;struct iphdr *hdr = ip_hdr(skb);__be16 port = 0;u8 proto;port = get_l4_port(skb, DIR_DNAT);proto = get_l4_proto(skb);if (skb->nfct && skb->nfct != &nf_conntrack_untracked.ct_general) {goto out;}memset(&mres, 0, sizeof(mres));res = get_address_from_map(DIR_DNAT, hdr->daddr, port, proto, NAT_OPT_FIND|NAT_OPT_ACCT_BIT, &mres, skb->len, in);if (res) {goto out;}if (hdr->daddr == mres.addr) {goto out;}/* 执行DNAT */if (process_l7(skb, DIR_DNAT, mres.addr, mres.port)) {/* 如果第七层发生了改变，则重新计算相关校验码 */}csum_replace4(&hdr->check, hdr->daddr, mres.addr);nat4_update_l4(skb, hdr->daddr, mres.addr, port, mres.port);if (mres.port) {set_l4_port(skb, DIR_DNAT, mres.port);}hdr->daddr = mres.addr;/**  设置一个notrack 防止其被track以及nat.*  这是绝对合适的，因为既然是static的stateless NAT*  我们就不希望它被状态左右**//** 其实，并不是主要避开基于conntrack的NAT就可以了，因为* conntrack本身就不容你对两个方向的tuple进行随意修改*/if (!skb->nfct) {skb->nfct = &nf_conntrack_untracked.ct_general;skb->nfctinfo = IP_CT_NEW;nf_conntrack_get(skb->nfct);}out:return ret;
}static struct nf_hook_ops ipv4_nat_ops[] __read_mostly = {{.hook       = ipv4_nat_in,.owner      = THIS_MODULE,.pf     = NFPROTO_IPV4,.hooknum    = NF_INET_PRE_ROUTING,.priority   = NF_IP_PRI_RAW + 1,},{.hook       = ipv4_nat_out,.owner      = THIS_MODULE,.pf     = NFPROTO_IPV4,.hooknum    = NF_INET_POST_ROUTING,.priority   = NF_IP_PRI_CONNTRACK + 1,},
};static char *parse_addr(const char *input, __be32 *from, __be32 *to)
{char *p1, *p2;size_t length = strlen(input);if (!(p1 = memchr(input, ' ', length))) {return NULL;}if (!(p2 = memchr(p1 + 1, ' ', length - (p1 + 1 - input)))) {return NULL;}if (!(in4_pton(input, p1 - input, (u8 *)from, ' ', NULL))|| !(in4_pton(p1 + 1, p2 - p1 - 1, (u8 *)to, ' ', NULL))) {return NULL;}return ++p2;
}static char *parse_port(char *input, __be16 *from, __be16 *to)
{char *p1;size_t length = strlen(input);size_t delta = 0;char tmp[8] = {0};__be16 res;/*portfrom portto*/if (!(p1 = memchr(input, ' ', length))) {return NULL;}delta = p1 - input;memcpy(tmp, input, delta);res = skip_atos(tmp);if (!res) {return NULL;}*from = htons(res);memset(tmp, 0, sizeof(tmp));memcpy(tmp, p1+1, length-delta);res = skip_atos(tmp);if (!res) {return NULL;}*to = htons(res);return p1;
}static int add_remove_nat_entry(struct static_nat_entry *ent,__be32 from, __be32 to,__be16 from_port, __be16 to_port,u8 dir,u8 proto,struct net_device *dev,u8 opt)
{int ret = 0;__be32 normal, reverse;struct map_result mres;if (opt == ENTRY_ADD) {if (!ent) {ret = -EINVAL;goto out;}ent->proto = proto;/* 计算原始项的hash桶位置 */normal = jhash_2words(from, (__be32)proto, 1);normal = normal%BUCKETS;/* 计算反转位置的hash桶位置 */reverse = jhash_2words(to, (__be32)proto, 1);reverse = reverse%BUCKETS;/**  设置key/value对*  注意，反转类型的hnode其key/value也要反转*/ent->addr[0] = from;ent->addr[1] = to;ent->u.all[0] = from_port;ent->u.all[1] = to_port;/* 这是这个entry的type，用来区分生成的两条配置项 */ent->type = dir;ent->dev = dev;/* 初始化链表节点 */INIT_HLIST_NODE(&ent->node[DIR_SNAT]);INIT_HLIST_NODE(&ent->node[DIR_DNAT]);if (dir == DIR_SNAT) { /* 添加SNAT项，自动生成DNAT项 *//* 首先判断是否已经存在了 */if (!get_address_from_map(DIR_SNAT, from, from_port, proto, NAT_OPT_FIND, &mres, 0, dev) ||!get_address_from_map(DIR_SNAT, to, to_port, proto, NAT_OPT_FIND, &mres, 0, dev)) {ret = -EEXIST;goto out;}/* 落实到链表 */spin_lock(&nat_lock);hlist_add_head(&ent->node[DIR_SNAT], &src_list[normal]);hlist_add_head(&ent->node[DIR_DNAT], &dst_list[reverse]);spin_unlock(&nat_lock);} else if(dir == DIR_DNAT) { /* 添加DNAT项，自动生成SNAT项 *//* 首先判断是否已经存在了 */struct map_result mres;if (!get_address_from_map(DIR_DNAT, from, from_port, proto, NAT_OPT_FIND, &mres, 0, dev) ||!get_address_from_map(DIR_DNAT, to, to_port, proto, NAT_OPT_FIND, &mres, 0, dev)){ret = -EEXIST;goto out;}/* 落实到链表 */spin_lock(&nat_lock);hlist_add_head(&ent->node[DIR_DNAT], &dst_list[normal]);hlist_add_head(&ent->node[DIR_SNAT], &src_list[reverse]);spin_unlock(&nat_lock);} else {ret = -EINVAL;goto out;}} else if (opt == ENTRY_DEL) {u32 r1;if (dir == DIR_SNAT) {r1 = get_address_from_map(DIR_SNAT, from, from_port, proto, NAT_OPT_DEL, &mres, 0, dev);if (r1) {ret = -ENOENT;goto out;}} else if(dir == DIR_DNAT) {r1 = get_address_from_map(DIR_DNAT, from, from_port, proto, NAT_OPT_DEL, &mres, 0, dev);if (r1) {ret = -ENOENT;goto out;}} else {ret = -EINVAL;goto out;}} else {ret = -EINVAL;goto out;}
out:return ret;
}static ssize_t static_nat_config_write(struct file *file, const char *buffer, size_t count, loff_t *unused)
{int ret = 0;size_t length = count;__be32 from, to;__be16 from_port = 0, to_port = 0;u8 proto = 0;char *buf = NULL;char *p, *pport, *last;struct static_nat_entry *ent;struct net_device *dev = NULL;if (length) {char *pp = (char *)(buffer + (length - 1));for (; (*pp < (char)32) || (*pp > (char)126); pp--) {if (length <= 0) {ret = -EINVAL;goto out;}length--;}} else {goto out;}buf = kzalloc((length + 1), GFP_ATOMIC);if (!buf) {ret = -ENOMEM;goto out;}memcpy(buf, buffer, length);if (!(p = parse_addr(buf + 1, &from, &to))) {ret = -EINVAL;goto out;}/** dev = dev_get_by_name(&init_net, $待解析的dev名字);* */if (strstr(p, "tcp") && !strstr(p, "udp")) {proto = IPPROTO_TCP;} else if (strstr(p, "udp") && !strstr(p, "tcp")) {proto = IPPROTO_UDP;} else {/* 支持IPIP以及所有协议 */proto = IPPROTO_MAX - 1;}if (((pport = strstr(p, "port-map")) != NULL) &&((last = parse_port(pport + strlen("port-map") + 1, &from_port, &to_port)) == NULL)) {ret = -EINVAL;goto out;}if ('+' == *buf) {ent = (struct static_nat_entry *)kzalloc(sizeof(struct static_nat_entry), GFP_KERNEL);if (!ent) {ret = -EFAULT;goto out;}if (strstr(p, "src")) { /* 添加SNAT项，自动生成DNAT项 */ret = add_remove_nat_entry(ent, from, to, from_port, to_port, DIR_SNAT, proto, dev, ENTRY_ADD);if (ret) {kfree(ent);goto out;}} else if(strstr(p, "dst")) { /* 添加DNAT项，自动生成SNAT项 */ret = add_remove_nat_entry(ent, from, to, from_port, to_port, DIR_DNAT, proto, dev, ENTRY_ADD);if (ret) {kfree(ent);goto out;}} else {ret = -EFAULT;kfree(ent);goto out;}} else if ('-' ==*buf) {if (strstr(p, "src")) {ret = add_remove_nat_entry(NULL, from, to, from_port, to_port, DIR_SNAT, proto, dev, ENTRY_DEL);if (ret) {goto out;}} else if(strstr(p, "dst")) {ret = add_remove_nat_entry(NULL, from, to, from_port, to_port, DIR_DNAT, proto, dev, ENTRY_DEL);if (ret) {goto out;}} else {ret = -EINVAL;goto out;}} else {ret = -EINVAL;goto out;}ret = count;
out:kfree(buf);return ret;
}static ssize_t static_nat_config_read(struct file *file, char __user *buf, size_t count, loff_t *ppos)
{int len = 0;static int done = 0;int i;char from[15], to[15];char from_port[8], to_port[8];char *kbuf_to_avoid_user_space_memory_page_fault = NULL;/* 每一行的最大长度 */
#define MAX_LINE_CHARS  128if (done) {done = 0;goto out;}/** 分配一块内核内存，为了避免直接操作用户内存而引发页面调度，* 页面调度会导致睡眠切换，而我们操作的内容处在自旋锁的保护* 下，所以不能切换！*//** 问题：* 我这里仅仅分配count大小的内存，是因为这个版本不支持多次读，* 只能一次读完。也许我应该学学seq read的方法。*/kbuf_to_avoid_user_space_memory_page_fault = kzalloc(count, GFP_KERNEL);if (!kbuf_to_avoid_user_space_memory_page_fault) {len = -ENOMEM;done = 1;goto out;}spin_lock(&nat_lock);len += sprintf(kbuf_to_avoid_user_space_memory_page_fault + len, "Source trans table:\n");if (len + MAX_LINE_CHARS > count) {goto copy_now;}for (i = 0; i < BUCKETS; i++) {struct hlist_node *iter, *tmp;struct static_nat_entry *ent;hlist_for_each_safe(iter, tmp, &src_list[i]) {ent = hlist_entry(iter, struct static_nat_entry, node[DIR_SNAT]);sprintf(from, "%pI4", (ent->type == DIR_SNAT)? &ent->addr[0]:&ent->addr[1]);sprintf(to, "%pI4", (ent->type == DIR_SNAT)? &ent->addr[1]:&ent->addr[0]);if (ent->u.all[0] && ent->u.all[1]) {sprintf(from_port, "%d", ntohs((ent->type == DIR_SNAT)? ent->u.all[0]:ent->u.all[1]));sprintf(to_port, "%d", ntohs((ent->type == DIR_SNAT)? ent->u.all[1]:ent->u.all[0]));len += sprintf(kbuf_to_avoid_user_space_memory_page_fault + len,"From:%-15s To:%-15s    [%s %s] Port map[From:%-5s To:%-5s] [%s] [Bytes:%u  Packet:%u]\n",from,to,(ent->proto == IPPROTO_TCP)?"TCP":(ent->proto == IPPROTO_UDP)?"UDP":"ALL",(ent->type == DIR_SNAT)?"STATIC":"AUTO",from_port,to_port,(ent->dev == NULL)?"all":ent->dev->name,ent->acct[DIR_SNAT].nat_bytes,ent->acct[DIR_SNAT].nat_packets);} else {len += sprintf(kbuf_to_avoid_user_space_memory_page_fault + len,"From:%-15s To:%-15s    [%s %s] [%s] [Bytes:%u  Packet:%u]\n",from,to,(ent->proto == IPPROTO_TCP)?"TCP":(ent->proto == IPPROTO_UDP)?"UDP":"ALL",(ent->type == DIR_SNAT)?"STATIC":"AUTO",(ent->dev == NULL)?"all":ent->dev->name,ent->acct[DIR_SNAT].nat_bytes,ent->acct[DIR_SNAT].nat_packets);}if (len + MAX_LINE_CHARS > count) {goto copy_now;}}}len += sprintf(kbuf_to_avoid_user_space_memory_page_fault + len, "\nDestination trans table:\n");if (len + MAX_LINE_CHARS > count) {goto copy_now;}for (i = 0; i < BUCKETS; i++) {struct hlist_node *iter, *tmp;struct static_nat_entry *ent;hlist_for_each_safe(iter, tmp, &dst_list[i]) {ent = hlist_entry(iter, struct static_nat_entry, node[DIR_DNAT]);sprintf(from, "%pI4", (ent->type == DIR_DNAT)? &ent->addr[0]:&ent->addr[1]);sprintf(to, "%pI4", (ent->type == DIR_DNAT)? &ent->addr[1]:&ent->addr[0]);if (ent->u.all[0] && ent->u.all[1]) {sprintf(from_port, "%d", ntohs((ent->type == DIR_DNAT)? ent->u.all[0]:ent->u.all[1]));sprintf(to_port, "%d", ntohs((ent->type == DIR_DNAT)? ent->u.all[1]:ent->u.all[0]));len += sprintf(kbuf_to_avoid_user_space_memory_page_fault + len,"From:%-15s To:%-15s    [%s %s] Port map[From:%-5s To:%-5s] [%s] [Bytes:%u  Packet:%u]\n",from,to,(ent->proto == IPPROTO_TCP)?"TCP":(ent->proto == IPPROTO_UDP)?"UDP":"ALL",(ent->type == DIR_DNAT)?"STATIC":"AUTO",from_port,to_port,(ent->dev == NULL)?"all":ent->dev->name,ent->acct[DIR_DNAT].nat_bytes,ent->acct[DIR_DNAT].nat_packets);} else {len += sprintf(kbuf_to_avoid_user_space_memory_page_fault + len,"From:%-15s To:%-15s    [%s %s] [%s] [Bytes:%u  Packet:%u]\n",from,to,(ent->proto == IPPROTO_TCP)?"TCP":(ent->proto == IPPROTO_UDP)?"UDP":"ALL",(ent->type == DIR_DNAT)?"STATIC":"AUTO",(ent->dev == NULL)?"all":ent->dev->name,ent->acct[DIR_DNAT].nat_bytes,ent->acct[DIR_DNAT].nat_packets);}if (len + MAX_LINE_CHARS > count) {goto copy_now;}}}
copy_now:spin_unlock(&nat_lock);done = 1;/* 这里已经解除自旋锁 */if (copy_to_user(buf, kbuf_to_avoid_user_space_memory_page_fault, len))  {len = EFAULT;goto out;}out:if (kbuf_to_avoid_user_space_memory_page_fault) {kfree(kbuf_to_avoid_user_space_memory_page_fault);}return len;
}static const struct file_operations static_nat_file_ops = {.owner      = THIS_MODULE,.read       = static_nat_config_read,
/* 由于有了iptables接口，为了不产生两个写接口的联动问题，特意封掉了procfs的write接口 *  .write      = static_nat_config_write,*/
};/***************************************************************************************************************************/
/* 以下就是iptables接口了，我只是为了迎合它的语法而已，事实上static 2-way nat的规则中，matches完全不起作用，* 甚至就连PREROUTING/POSTROUTING都完全不起作用，我的目的仅仅是将其设置进内核而已。因此起作用的只有target。* 这是有原因的，因为我只是做一个纯粹的，无状态德，理所当然的，匹配地址端口即无条件转换的NAT，如果使用match* 将达不到这个要求，试想，如果有-i参数匹配网卡，那么反向的包怎么匹配，你不得不写两条规则，xtables-addons里面* 的RAWNAT似乎不是很完全，因此我要自己搞一个。* 事实上，我只是利用了target结构体的checkentry/destroy回调函数，在checkentry中添加规则，在destroy中删除规则，* 而所谓的规则也并不是指iptables规则，iptables只是起到一个stub的作用。* 以下是一些规则样例：* 1.做源地址转换，将源IP地址为192.168.184.1的包的源地址转换为192.168.184.2，反方向的包自动完成目标地址转换：*   iptables -t nat -A PREROUTING -j STATIC-2-WAY-NAT --mapaddr 192.168.184.1-192.168.184.2 --type src * 2.做目标地址转换，仅限于UDP协议，将目标IP地址为192.168.184.3的包的目标地址转换为192.168.184.4，反方向包自动做源地址转换：*   iptables -t nat -A PREROUTING -j STATIC-2-WAY-NAT --mapaddr 192.168.184.3-192.168.184.4 --type dst --proto udp* 3.做目标地址转换，仅限于TCP协议，解释同上，添加了一个端口映射：*   iptables -t nat -A PREROUTING -j STATIC-2-WAY-NAT --mapaddr 1.1.1.5-1.6.8.6 --type dst --proto tcp \* --mapport 1234-80* 4.以下规则的所有matches无效，起不到限制规则匹配的作用：*   iptables -t nat -A PREROUTING -i eth0 -p icmp -d 1.2.3.4 -j STATIC-2-WAY-NAT ...*/
/***************************************************************************************************************************//* 该链表保存了所有的当前iptales static nat规则 */
LIST_HEAD(curr_entrys);
DEFINE_SPINLOCK(curr_entrys_lock);/** 引入下面的数据结构加入curr_entrys是有超级原因的。这是因为我必须维护两个链表。* src_list/dst_list维护的是查找node，而entrys维护的则是iptables的规则node，为什么* iptables的规则node不能重用src_list/dst_list呢？因为iptables允许添加两条多条相同* 的规则。* 因此必须采用引用计数的方式。关于这么做的原因还有一个因素，那就是iptables添加删除* 规则时背后的操作：* 添加规则：*      1.开辟一块新的可以容纳新规则的内存空间(比原来的同一target空间大一个entry)；*      2.将老的规则全部copy到新的内存空间，新规则append到最后或者insert到中间(copy老规则时需预留间隙)；*      3.依次调用新内存空间所有entry的checkentry回调函数(失败则回退，略)；*      4.如果成功则调用老规则内存空间所有entry的destroy回调函数；*      5.释放老规则的内存空间；**      各个步骤示意图如下所示(o:old  n:new)：**          老规则空间：            o -1-  -2-  -3-**          新规则空间：            ALLOC*                                  n ---  ---  ---  ---**          拷贝老规则到新空间：    n -1-  -2-  -3-  ---**          设置新规则：            n -1-  -2-  -3-  -4-**          调用1-4的checkentry：   ->chk->chk->chk->chk*                                  n -1-  -2-  -3-  -4-**          destroy老空间的规则：   ->dsy->dsy->dsy*                                  o -1-  -2-  -3- **          释放老规则空间：        FREE    *                                  o -1-  -2-  -3- *  删除规则：*      和添加规则一样。**  之所以每次添加规则都要触动统一target所有的既有规则，是因为iptables规则在内存中是连续存放的，*  一开始的时候并不知道数量，因此只能在每次添加新规则的时候重新分配大一个entry的空间，然后拷贝，*  最终释放老地址空间。*/
struct entry_node {struct list_head list;atomic_t refcnt;struct net_device *dev;__be32 from, to;__be16 port_from, port_to;u8 proto;u8 dir;
};static void entry_insert(struct entry_node *enode)
{spin_lock_bh(&curr_entrys_lock);list_add_tail(&enode->list, &curr_entrys);spin_unlock_bh(&curr_entrys_lock);
}static struct entry_node *entry_alloc(__be32 from, __be32 to,__be16 port_from, __be16 port_to,u8 proto,u8 dir,struct net_device *dev)
{struct entry_node *node = kzalloc(sizeof(struct entry_node), GFP_KERNEL);if (!node) {return NULL;}if (dev) {dev_hold(dev);}node->dev = dev;node->from = from;node->to = to;node->port_from = port_from;node->port_to = port_to;node->proto = proto;node->dir = dir;INIT_LIST_HEAD(&node->list);atomic_set(&node->refcnt, 1);return node;
}static bool check_and_use(__be32 from, __be32 to,__be16 port_from, __be16 port_to,u8 proto,u8 dir,struct net_device *dev)
{bool ret = false;struct entry_node *i;spin_lock_bh(&curr_entrys_lock);if (!list_empty(&curr_entrys)) {list_for_each_entry(i, &curr_entrys, list) {if (i->from == from &&i->to == to &&i->port_from == port_from &&i->port_to == port_to &&i->proto == proto &&i->dir == dir &&i->dev == dev) {atomic_inc(&i->refcnt);ret = true;}}}spin_unlock_bh(&curr_entrys_lock);return ret;
}static bool check_and_put(__be32 from, __be32 to,__be16 port_from, __be16 port_to,u8 proto,u8 dir,struct net_device *dev)
{bool ret = false;struct entry_node *i, *tmp;spin_lock_bh(&curr_entrys_lock);if (!list_empty(&curr_entrys)) {list_for_each_entry_safe(i, tmp, &curr_entrys, list) {if (i->from == from &&i->to == to &&i->port_from == port_from &&i->port_to == port_to &&i->proto == proto &&i->dir == dir &&i->dev == dev) {if (atomic_dec_and_test(&i->refcnt)) {list_del(&i->list);if (dev) {dev_put(dev);}kfree(i);ret = true;}}}}spin_unlock_bh(&curr_entrys_lock);return ret;
}/* * 理论上讲，下面这个函数应该是iptables的一条规则中所有match都匹配到之后要调用的函数，* 但是，你可以看到，在我的static 2-way nat中，它并不起任何作用。* 但是等等！* 它事实上取消了排在这个规则后面的statefull NAT的执行，因为它直接在nat表中ACCEPT了，* 这是什么，这是一个副作用，这个副作用竟然如此有用，以至于它已经可以模拟Cisco/H3C设备的* NAT了：静态NAT优先执行！** 看来这是iptables相比procfs接口的一个特别有用的副作用了！*/
static unsigned int
do_nothing(struct sk_buff *skb, const struct xt_target_param *par)
{return NF_ACCEPT;
}static bool do_all_things_add(const struct xt_tgchk_param *par)
{int ret = true;__be32 from = 0, to = 0;__be16 from_port = 0, to_port = 0;u8 proto;u8 dir;struct static_nat_entry *ent = NULL;const struct xt_static_nat_tginfo *info = par->targinfo;struct net_device *dev;
/** struct xt_static_nat_tginfo {*  __be32 addr[DIR_NUM];*  __be16 port[DIR_NUM];*  u_int8_t proto;*  u_int8_t dir;* };*/from = info->addr[0];to = info->addr[1];from_port = info->port[0];to_port = info->port[1];proto = info->proto;dir = info->dir;dev = dev_get_by_name(&init_net, info->dev);/* 只有在链表中没有该entry的情况下才添加 */if (!check_and_use(from, to, from_port, to_port, proto, dir, dev)) {struct entry_node *enode = entry_alloc(from, to, from_port, to_port, proto, dir, dev);if (enode) {entry_insert(enode);ent = (struct static_nat_entry *)kzalloc(sizeof(struct static_nat_entry), GFP_KERNEL);if (!ent) {ret = false;goto out;}ret = add_remove_nat_entry(ent, from, to, from_port, to_port, dir, proto, dev, ENTRY_ADD);if (ret) {ret = false;kfree(ent);check_and_put(from, to, from_port, to_port, proto, dir, dev);goto out;}} else {ret = false;goto out;}} else if (dev) {dev_put(dev);}ret = true;
out:return ret;
}static void do_all_things_del(const struct xt_tgdtor_param *par)
{int ret = 0;__be32 from = 0, to = 0;__be16 from_port = 0, to_port = 0;u8 proto;u8 dir;const struct xt_static_nat_tginfo *info = par->targinfo;struct net_device *dev = NULL;from = info->addr[0];to = info->addr[1];from_port = info->port[0];to_port = info->port[1];proto = info->proto;dir = info->dir;dev = dev_get_by_name(&init_net, info->dev);if (check_and_put(from, to, from_port, to_port, proto, dir, dev)) {ret = add_remove_nat_entry(NULL, from, to, from_port, to_port, dir, proto, dev, ENTRY_DEL);if (ret) {goto out;}}
out:if (dev) {dev_put(dev);}return;
}static struct xt_target static_nat_tg_reg[] __read_mostly = {{.name       = "STATIC-2-WAY-NAT",.family     = NFPROTO_IPV4,.target     = do_nothing,.table      = "nat",.targetsize = XT_ALIGN(sizeof(struct xt_static_nat_tginfo)),.checkentry = do_all_things_add,.destroy    = do_all_things_del,.hooks      = (1 << NF_INET_POST_ROUTING) |(1 << NF_INET_PRE_ROUTING),.me         = THIS_MODULE,},
};static int __init nf_static_nat_init(void)
{int ret = 0;int i;src_list = kzalloc(sizeof(struct hlist_head) * BUCKETS, GFP_KERNEL);if (!src_list) {ret = -ENOMEM;goto out;}dst_list = kzalloc(sizeof(struct hlist_head) * BUCKETS, GFP_KERNEL);if (!dst_list) {ret = -ENOMEM;goto out;}ret = nf_register_hooks(ipv4_nat_ops, ARRAY_SIZE(ipv4_nat_ops));if (ret < 0) {printk("nf_nat_ipv4: can't register hooks.\n");goto out;}ret = xt_register_targets(static_nat_tg_reg, ARRAY_SIZE(static_nat_tg_reg));if (ret < 0) {printk("nf_nat_ipv4: can't register targets.\n");goto out;}if (!proc_create("static_nat", 0644, init_net.proc_net, &static_nat_file_ops)) {ret = -ENOMEM;goto out;}for (i = 0; i < BUCKETS; i++) {INIT_HLIST_HEAD(&src_list[i]);INIT_HLIST_HEAD(&dst_list[i]);}return ret;
out:if (src_list) {kfree(src_list);}if (dst_list) {kfree(dst_list);}return ret;
}static void __exit nf_static_nat_fini(void)
{int i;remove_proc_entry("static_nat", init_net.proc_net);xt_unregister_targets(static_nat_tg_reg, ARRAY_SIZE(static_nat_tg_reg));nf_unregister_hooks(ipv4_nat_ops, ARRAY_SIZE(ipv4_nat_ops));spin_lock(&nat_lock);for (i = 0; i < BUCKETS; i++) {struct hlist_node *iter, *tmp;struct static_nat_entry *ent;hlist_for_each_safe(iter, tmp, &src_list[i]) {ent = hlist_entry(iter, struct static_nat_entry, node[0]);hlist_del(&ent->node[DIR_SNAT]);hlist_del(&ent->node[DIR_DNAT]);kfree(ent);}}spin_unlock(&nat_lock);if (src_list) {kfree(src_list);}if (dst_list) {kfree(dst_list);}
}module_init(nf_static_nat_init);
module_exit(nf_static_nat_fini);MODULE_DESCRIPTION("STATIC two-way NAT");
MODULE_AUTHOR("marywangran@126.com");
MODULE_LICENSE("GPL");

libxt_STATIC-2-WAY-NAT.c：这是用户态的iptables target模块的实现文件

/**  根据Netfilter/iptables社区的友好相权，逼出来一个iptables接口。*  相比procfs要友好多了**  起初，我就是嫌iptables模块写起来太麻烦，后来写过procfs接口之后才发现，*  原来最麻烦的不是例行公事的调用，而是字符串解析。使用iptables框架的好处*  在于它已经有了很多可重用的字符串解析以及到IP地址，端口的转换接口*/#include <getopt.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <xtables.h>#include "xt_STATIC-2-WAY-NAT.h"#undef XT_ALIGN
#define XT_ALIGN(s) (((s) + (__alignof__(struct _xt_align)-1))  \& ~(__alignof__(struct _xt_align)-1))/* 枚举规则解析状态机的当前状态 */
enum {ADDR_OK = (1<<0),TYPE_OK = (1<<1),PROTO_OK = (1<<2),PORT_OK = (1<<3),DEV_OK  = (1<<4),
};/* 规则命令定义 */
static const struct option static_2_way_nat_tg_opts[] = {{.name = "mapaddr", .has_arg = true, .val = 'a'},{.name = "mapport", .has_arg = true, .val = 'o'},{.name = "proto", .has_arg = true, .val = 'p'},/* 本来想将type设置成source/destination的，但UNIX短名称传统更适合Linux */{.name = "type", .has_arg = true, .val = 't'},/* 本来想为dev设置inside/outside属性的，但是还是用Linux术语吧 */{.name = "dev", .has_arg = true, .val = 'd'},{},
};static void static_2_way_nat_tg_help(void)
{printf(
"STATIC-2-WAY-NAT target options:\n"
"    --mapaddr from-to --type [src|dst] --dev [ethX] --proto [tcp|udp|all] --mapport from_port-to_port\n"
);
}/* 从字符串解析IP地址 */
static void parse_addr(const char *orig_arg, struct xt_static_nat_tginfo *info)
{char *arg, *dash;size_t delta, len;u_int32_t from, to;arg = strdup(orig_arg);if (arg == NULL) {xtables_error(RESOURCE_PROBLEM, "strdup");}len = strlen(arg);dash = strchr(arg, '-');if (!dash) {xtables_error(RESOURCE_PROBLEM, "invalid argument.");}delta = dash - arg;arg[delta] = 0;from = inet_addr(arg);if (from == INADDR_NONE){xtables_error(RESOURCE_PROBLEM, "invalid from address.");}info->addr[0] = from;arg += delta + 1;to = inet_addr(arg);if (to == INADDR_NONE){xtables_error(RESOURCE_PROBLEM, "invalid to address.");}info->addr[1] = to;
}/* 从字符串解析端口信息 */
static void parse_port(const char *orig_arg, struct xt_static_nat_tginfo *info)
{char *arg, *dash;size_t delta, len;u_int16_t from, to;arg = strdup(orig_arg);if (arg == NULL) {xtables_error(RESOURCE_PROBLEM, "strdup");}len = strlen(arg);dash = strchr(arg, '-');if (!dash) {xtables_error(RESOURCE_PROBLEM, "invalid argument.");}delta = dash - arg;arg[delta] = 0;from = atoi(arg);if (from == 0){xtables_error(RESOURCE_PROBLEM, "invalid from port.");}info->port[0] = htons(from);arg += delta + 1;to = atoi(arg);if (to == 0){xtables_error(RESOURCE_PROBLEM, "invalid to port.");}info->port[1] = htons(to);
}/* iptables框架内的规则命令解析回调函数实现 */
static int
static_2_way_nat_tg_parse(int c, char **argv, int invert, unsigned int *flags,const void *entry, struct xt_entry_target **target)
{int ret = false;struct xt_static_nat_tginfo *info = (void *)(*target)->data;switch (c) {case 'a':if (*flags & ADDR_OK) {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: multi addrmap.");}parse_addr(optarg, info);/* 如果没有携带或者还没有解析到协议参数，则设置默认值 */if (!(*flags & PROTO_OK)) {info->proto = IPPROTO_MAX - 1;}/* 如果没有携带或者还没有解析到端口参数，则设置默认值 */if (!(*flags & PORT_OK)) {info->port[0] = 0;info->port[1] = 0;}/* 如果没有携带或者还没有解析到网卡参数，则设置默认值 */if (!(*flags & DEV_OK)) {memset(&info->dev[0], 0, MAX_DEV_NAME);strcpy(info->dev, "");}*flags |= ADDR_OK;ret = true;break;case 'o':if (*flags & PORT_OK) {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: multi portmap.");}parse_port(optarg, info);*flags |= PORT_OK;ret = true;break;case 'p':if (*flags & PROTO_OK) {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: multi protocol.");}if (!strcmp (optarg, "tcp")) {info->proto = IPPROTO_TCP;} else if (!strcmp (optarg, "udp")) {info->proto = IPPROTO_UDP;} else {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: invalid type.");}*flags |= PROTO_OK;ret = true;break;case 't':if (*flags & TYPE_OK) {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: multi type.");}if (!strcmp (optarg, "src")) {info->dir = DIR_SNAT;} else if (!strcmp (optarg, "dst")) {info->dir = DIR_DNAT;} else {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: invalid type.");}*flags |= TYPE_OK;ret = true;break;case 'd':if (*flags & DEV_OK) {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: multi device.");}strncpy(info->dev, optarg, MAX_DEV_NAME);*flags |= DEV_OK;ret = true;break;}return ret;
}/* iptables框架内的规则命令解析完毕检查回调函数实现 */
static void static_2_way_nat_tg_check(unsigned int flags)
{/* 地址转换信息和类型[SNAT|DNAT]是必须要设置的 */if (!(flags & ADDR_OK) || !(flags & TYPE_OK)) {xtables_error(PARAMETER_PROBLEM, "STATIC-2-WAY-NAT: ""\"--mapaddr a.b.c.d-A.B.C.D and --type [src|dst]\" is required.");}
}static void
static_2_way_nat_tg_print(const void *entry, const struct xt_entry_target *target,int numeric)
{u_int32_t addr;const struct xt_static_nat_tginfo *info = (const void *)target->data;if (!info) {return;}addr = info->addr[0];printf(" --mapaddr %s-", xtables_ipaddr_to_numeric((struct in_addr *)&addr));addr = info->addr[1];printf("%s --type %s --proto %s --mapport %d-%d --dev %s",xtables_ipaddr_to_numeric((struct in_addr *)&addr),(info->dir == DIR_SNAT)?"src":"dst",(info->proto == IPPROTO_TCP)?"tcp":((info->proto == IPPROTO_UDP)?"udp":"all"),ntohs(info->port[0]),ntohs(info->port[1]),!strcmp(info->dev, "")?"all":info->dev);
}/* iptables-save将按照该函数的实现来罗列规则 */
static void
static_2_way_nat_tg_save(const void *entry, const struct xt_entry_target *target)
{u_int32_t addr;const struct xt_static_nat_tginfo *info = (const void *)target->data;if (!info) {return;}addr = info->addr[0];printf(" --mapaddr %s-", xtables_ipaddr_to_numeric((struct in_addr *)&addr));addr = info->addr[1];printf("%s --type %s --proto %s --mapport %d-%d --dev %s",xtables_ipaddr_to_numeric((struct in_addr *)&addr),(info->dir == DIR_SNAT)?"src":"dst",(info->proto == IPPROTO_TCP)?"tcp":((info->proto == IPPROTO_UDP)?"udp":"all"),ntohs(info->port[0]),ntohs(info->port[1]),!strcmp(info->dev, "")?"all":info->dev);}static struct xtables_target static_2_way_nat_tg_reg = {.version       = XTABLES_VERSION,.name          = "STATIC-2-WAY-NAT",.family        = NFPROTO_IPV4,.size          = XT_ALIGN(sizeof(struct xt_static_nat_tginfo)),.userspacesize = XT_ALIGN(sizeof(struct xt_static_nat_tginfo)),.help          = static_2_way_nat_tg_help,.parse         = static_2_way_nat_tg_parse,.final_check   = static_2_way_nat_tg_check,.print         = static_2_way_nat_tg_print,.save          = static_2_way_nat_tg_save,.extra_opts    = static_2_way_nat_tg_opts,
};static __attribute__((constructor)) void static_2_way_nat_tg_ldr(void)
{xtables_register_target(&static_2_way_nat_tg_reg);
}

xt_STATIC-2-WAY.h：这是一个头文件，内核模块和用户态文件公用

#ifndef _LINUX_NETFILTER_XT_TARGET_STATICNAT
#define _LINUX_NETFILTER_XT_TARGET_STATICNAT 1#define MAX_DEV_NAME    8enum nat_dir {DIR_SNAT,DIR_DNAT,DIR_NUM = 2
};struct xt_static_nat_tginfo {u_int32_t addr[DIR_NUM];u_int16_t port[DIR_NUM];u_int8_t proto;u_int8_t dir;char dev[MAX_DEV_NAME];
};#endif /* _LINUX_NETFILTER_XT_TARGET_STATICNAT */

最后是一个Makefile：

obj-m += xt_STATIC-2-WAY-NAT.oall: module xtlib@truemodule:make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules@rm -rf *.o .tmp_versions .*.mod.o .*.o.cmd *.mod.c .*.ko.cmd Module.symvers modules.order *.oo xtlib:gcc libxt_STATIC-2-WAY-NAT.c -fPIC -shared -o libxt_STATIC-2-WAY-NAT.so  -L/usr/local/lib -lxtables@rm -rf *.o .tmp_versions .*.mod.o .*.o.cmd *.mod.c .*.ko.cmd Module.symvers modules.order *.oo clean:rm -rf *.ko *.o .tmp_versions .*.mod.o .*.o.cmd *.mod.c .*.ko.cmd Module.symvers modules.order *.so *.oo

关 于备份不得不多说几句，我现在有时候在工作中碰到问题的时候，参考的最多的就是我自己的博客，因为总是隐隐约约觉得自己曾经搞定过某件事，但只是曾经而 已，只要有迹可寻，找到那个曾经的方案即可，当然，如果现在重新从零开始最终也是可以搞定的，但是那将浪费很多时间。以前我喜欢在纸上做笔记，但是几乎不 做索引，随着本子越来越多越来越厚，就很难找到要找的东西了，后来就改成了在电脑里用Word，OneNote甚至记事本做笔记，可是最终的结果和用纸和 笔的效果一样，后来我觉得互联网上现成的索引做的不错，为何不让搜索引擎替我搜索呢？于是就改成博客的方式了，至于代码，我倒不是很看重，自娱自乐而已， 我主要想记录的是当时想了些什么而不是怎么做的。其实你有没有想过，你参考的最多还是自己以往的经验，而不是别人的，因此干嘛不把自己以往的想法录下来 呢？以前是写日记，现在是写博客，零散的想法以前可以随身带个小本子写随笔，现在有微博和朋友圈，其实万变不离其中。