利用iptables目標重寫巧妙變更遺留系統配置

一個場景：

假設某組織的日常運營中有這樣一種應用場景，在一台機器（1.1.1.1）上，運行著一個很古老的應用程序（APP），這個APP一直運行良好，雖然其配置極複雜但在最初配置成功後就再也不用修改了。經過漫長歲月，組織中已經沒人知道該怎麼修改該APP的配置了，也沒人想修改它，因為不改的話它會一直正常運行，改的話萬一出錯了恢復不了怎麼辦。這樣的APP稱作「遺留系統」。

該APP會與另一台機器（2.2.2.2）通信，並為其提供某些服務。有一天，由於不可抗拒的原因，2.2.2.2的IP地址必須改變為3.3.3.3，那麼，從該APP提供的服務立即就失效了。組織中需要有人勇敢的站出來，修改1.1.1.1上該APP的配置，需要將其原來指向2.2.2.2的配置選項改為指向3.3.3.3。

但是，十分悲催的是，檢查發現該APP的配置選項中竟然沒有任何2.2.2.2的信息，進一步確認得知，原來2.2.2.2是寫死在APP的程序源代碼中的，不可配置！這可怎麼辦？

一個巧妙的方法：

幸運的是，該APP運行在一台LINUX系統中，而LINUX的iptables防火牆可以很容易地在該APP外部修改其發出的報文的目的地址。從而，在不改變APP配置、不修改APP程序源代碼的情況下，將該APP的流量從2.2.2.2改為指向3.3.3.3。具體的配置命令如下，執行即可生效：

iptables -t nat -A OUTPUT -d 2.2.2.2 -p tcp --dport 8888 -j DNAT --to-destination 3.3.3.3:8888n

1.1.1.1上的APP運行在LINUX系統的用戶態，它產生的流量通過SOCKET API經過LINUX內核態TCP/IP協議棧發出。iptables基於netfilter錶鏈機制實現，它可以指示系統在nat表的OUTPUT鏈中將從本機發出的IP報文的目的地址進行重寫修改。

iptables -t nat // 在nat表進行重寫n -A OUTPUT // 在OUTPUT鏈進行重寫n -d 2.2.2.2 // 2.2.2.2是重寫前的舊IP地址 n -p tcp n --dport 8888n -j DNAT n --to-destination 3.3.3.3:8888 // 重寫後目的地址改為3.3.3.3n

就這樣，IP地址重寫只是iptables的一個小小功能，掌握iptables的各種用法及原理並靈活運用，會讓生活充滿驚喜~

Reference:

0. 老宋的獨家號

1. The netfilter.org project

2. iptables(8) - Linux man page

註：本文為老宋原創文章，歡迎隨意轉載，有任何疑問前請至【知乎專欄-老宋的獨家號】評論區討論交流。

推薦閱讀：