Joinc Wiki: NAT

Facebook Joinc 그룹 Joinc QA 사이트

현재위치 : 미니사이트>System_management>NAT

joinc는 Firefox와 chrome에서 테스트 했습니다. IE에서는 테이블이 깨지거나 이미지가 보이지 않을 수 있습니다. 특히 구글 Docs이미지의 경우 엑박처리될 수 있습니다.

1 Network address translation

1.1 SNAT

1.2 Masquerade

1.3 rp_filter

1.4 DNAT

1.4.1 DNAT를 이용한 Load balancing
1.4.2 성능 측정 결과
1.4.3 문제 해결 및 튜닝

2 stateless NAT

3 history

1 Network address translation

"컴퓨터 네트워크에서 NAT는 IP 패킷 헤더의 IP 주소를 변경하는 과정을 의미한다" 라고 설명을 합니다. 대충 의미는 알겠는데, 어디에 쓸모가 있을지가 궁금합니다.

인터넷은 공개망 입니다. Public 망이라고 하죠. 모든 정보가 공개됩니다. "모든게 공개된다!!" 멋진 말이긴 하지만 외부로 부터 격리된 망에서 활동하고 싶을 때도 있기 마련입니다. 회사 업무에 쓰는 망이 그렇습니다. 그래서 외부로 부터 격리된 망을 만드는데, Private 망이라고 합니다.

private망은 private망 구성용으로 남겨둔 ip 주소영역을 사용합니다. 각 클래스 별로 private 망 구성용 주소를 남겨뒀습니다.

RFC1918 이름	IP 주소 범위	주소 갯수	CIDR (subnet mask)	host id 크기
24-bit 블럭	10.0.0.0 ~ 10.255.255.255	16,777,216	10.0.0,0/8 (255.0.0.0)	24bits
20-bit 블럭	172.16.0.0 ~ 172.31.255.255	1,048,576	172.16.0.0/12 (255.240.0.0)	20bits
16-bit 블럭	192.168.0.0 ~ 192.168.255.255	65,536	192.168.0.0/16 (255.250.0.0)	16bits

회사 개발팀이 사용할 private망을 192.168.100.0/24로 구축을 하면 인터넷에서 격리할 수 있을 겁니다.

개발망의 IP는 외부에서 접근할 수 없으므로 안전하게 운용할 수 있을 겁니다.

하지만 문제가 있습니다. 외부에서 격리될 뿐만 아니라 내부에서 외부로 나갈 수 없기 때문이. 개발자 입장에서는 인터넷을 사용할 수 없게 되는 거죠.

그럼 IP 주소를 바꾸면 어떻게 될까요 ? 192.168.100.5 주소가 switch를 통해서 인터넷으로 나갈 때, source ip 주소를 Public IP 주소로 바꿔 버리는 거죠.

switch에 패킷이 도착하면 source ip주소를 201.12.23.44로 바꿔서 인터넷으로 보내는 겁니다. 이 주소는 인터넷에 알려진 주소이므로 인터넷 데이터 통신이 가능해지겠죠. switch는 NAT를 적용한 패킷의 정보를 유지합니다. 그래서 NAT된 패킷이 들어오면, 이를 확인해서 수신 패킷의 destination address를 192.168.100.5로 바꿔서 내부망으로 보냅니다.

1.1 SNAT

위 예에서는 Source IP 주소를 변경했습니다. 이것을 SNAT라고 합니다. SNAT를 하면 내부 인터넷에서 외부 인터넷으로 나갈 수 있겠죠 ? 과거 리눅스로 홈네트워크를 구성하기 위해서 사용했던 IP 매스커레이딩과 같은 기술이라고 보시면 됩니다.

SNAT는 내부에서 외부로 나갈 수는 있지만, 외부에서 내부로 들어올 수는 없습니다. 외부에서 내부로 들어오려면 DNAT를 사용해야 합니다. DNAT는 다음 장에서 자세히 다룰 겁니다.

리눅스에서는 iptables를 조작해서 SNAT를 구성할 수 있습니다. 그럼 실제 구성을 해보도록 하겠습니다.

SNAT 구성을 위해서는 최소 2개의 컴퓨터가 있어야 합니다. SNAT를 수행하는 router 컴퓨터, 그리고 내부 망 구성을 위한 컴퓨터 하나. 저는 virtualbox를 이용해서 테스트 환경을 구축했습니다. 운영체제 환경은 다음과 같습니다.

Linux Box : virtualbox를 실행할 제 Linux 박스입니다. 운영체제는 Ubuntu 11.10입니다. iptables를 조작해서 SNAT를 수행할 겁니다.
Test VM : 테스트를 위해서 사용하는 VM으로 guest 운영체제는 역시 Ubuntu 11.10입니다.

Linux Box의 routing 테이블입니다. 가상 인터페이스인 vboxnet0을 확인할 수 있습니다. 이 인터페이스를 이용해서 test vm과 통신을 할겁니다.

# route -n 
Kernel IP routing table 
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
172.30.1.0      0.0.0.0         255.255.255.0   U     2      0        0 wlan0 
192.168.56.0    0.0.0.0         255.255.255.0   U     0      0        0 vboxnet0 
0.0.0.0         172.30.1.254    0.0.0.0         UG    0      0        0 wlan0

인터넷으로 나가는 인터페이스는 wlan0입니다.

Test VM의 routing 테이블 입니다. 게이트웨이가 192.168.56.1인 것을 확인할 수 있네요.

# route 
Kernel IP routing table 
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 
192.168.56.0    *               255.255.255.0   U     0      0        0 eth0 
default         192.168.56.1    0.0.0.0         UG    100    0        0 eth0

Test VM에서 192.168.100.1로의 통신은 문제가 없습니다. 하지만 인터넷 통신이 불가능합니다. 그럼 인터넷 통신이 가능하도록 Linux Box에 SNAT를 적용해 보겠습니다.

# iptables -t nat -A POSTROUTING -s 192.168.56.0/24 -o wlan0 -j SNAT --to 172.30.1.3

출발지 주소가 192.168.56.0/24인 패킷에 대해서 nat룰을 겁니다. 이 패킷은 인터넷으로 나가야 하겠죠. 그러니 wlan0으로 보내겠습니다. SNAT를 적용하기로 했습니다. SNAT를 적용한다는 것은 source ip address를 변경한다는 얘기입니다. --to 옵션을 이용해서 소스 아이피 주소를 172.30.1.3으로 바꾸기로 했습니다. POSTROUTING는 라우팅이 끝난 후 nat룰을 적용하겠다는 의미입니다.

nat룰을 적용한 후 리눅스 커널의 ip_forward를 1로 변경해 줍니다.

# echo 1 > /proc/sys/net/ipv4/ip_forward

sysctl을 이용해서 값을 변경할 수 있습니다.

# sysctl -w net.ipv4.ip_forward=1

이 정보는 휘발성입니다. 부팅하면 날아가는 정보죠. sysctl.conf에 추가하면 기본 값으로 유지 됩니다.

# cat /etc/sysctl.conf 
.... 
net.ipv4.ip_forward=1 
....

nat룰이 잘 적용 됐는지 한번 확인해 보겠습니다.

# iptables -t nat -L 
Chain POSTROUTING (policy ACCEPT) 
target     prot opt source               destination          
SNAT       all  --  192.168.56.0/24      anywhere            to:172.30.1.3

이제 test vm (192.168.56.101)에서 인터넷이 잘 되는지 확인 해보겠습니다. 먼저 구글 dns 서버로 ping 테스트를 했습니다.

# ping 8.8.8.8 
64 bytes from 8.8.8.8: icmp_req=1 ttl=48 time=206 ms 
64 bytes from 8.8.8.8: icmp_req=2 ttl=48 time=204 ms

잘 되는 군요. 실제 패킷의 내용을 살펴보고 싶어서, Linux Box에서 tcpdump로 icmp 패킷을 캡춰했습니다.

# tcpdump icmp -n 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on wlan0, link-type EN10MB (Ethernet), capture size 65535 bytes 
23:30:35.869225 IP 172.30.1.3 > 8.8.8.8: ICMP echo request, id 1562, seq 1, length 64 
23:30:36.072678 IP 8.8.8.8 > 172.30.1.3: ICMP echo reply, id 1562, seq 1, length 64 
23:30:36.870535 IP 172.30.1.3 > 8.8.8.8: ICMP echo request, id 1562, seq 2, length 64 
23:30:37.074904 IP 8.8.8.8 > 172.30.1.3: ICMP echo reply, id 1562, seq 2, length 64

출발지와 목적지의 주소가 192.168.56.101이 아닌 172.30.1.3으로 변경된걸 확인할 수 있습니다. 192.168.56.101에서 icmp 패킷을 캡춰했습니다.

# tcpdump icmp -n 
23:36:16.883660 IP 192.168.56.101 > 8.8.8.8: ICMP echo request, id 1746, seq 1, length 64 
23:36:17.086226 IP 8.8.8.8 > 192.168.56.101: ICMP echo reply, id 1746, seq 1, length 64

주소가 다시 192.168.56.101로 바뀐 것을 확인할 수 있습니다. SNAT가 잘 적용되고 있네요.

1.2 Masquerade

기본적으로 masquerade와 snat는 같은일을 한다. 유일한 차이점은 snat는 변경할 source ip를 직접 명시하는데, masquerade는 명시하지 않는다는 점이다. masquerade룰을 설정할 경우 알아서 NIC의 인터넷 주소를 할당한다.

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

1.3 rp_filter

rp_filter는 reverse path filter 설정을 위한 커널 옵션입니다. 기본 값은 1인데, 이 경우 운영체제는 패킷의 출발지 주소가 라우팅 테이블에 등록되있는지를 검사합니다. 만약 등록되있지 않다면 패킷을 드롭해 버립니다. NAT 장비의 경우 네트워크 구성에 따라서 private NIC의 rp_filter 옵션을 꺼야 합니다.

# echo 0 > /proc/sys/net/ipv4/conf/eth*/rp_filter

1.4 DNAT

DNAT는 SNAT의 반대입니다.

앞서 SNAT는 외부에서 내부로는 접근할 수 없다고 했습니다. DNAT는 목적지 IP 주소를 변경해서 내부로 접근할 수 있도록 패킷을 수정합니다.

NAT를 이용하면 외부 인터넷 환경으로 부터 내부 네트워크 환경을 숨길 수 있습니다. 하지만 때때로 인터넷을 내부 네트워크를 허용해야 할 때가 있습니다. DNAT를 사용하면 됩니다. SNAT의 반대라고 보시면 되겠습니다.

1.4.1 DNAT를 이용한 Load balancing

DNAT의 가장 대표적인 사용용도는 서비스 Load balancing입니다. 사설 네트워크인 192.168.0.2, 192.168.0.3 두 개에 웹 서비스를 구축을 했다고 가정해 보겠습니다. 우리가 원하는 것은 두 개의 내부 웹 서버로 부하를 분산하는 겁니다. 웹 서비스 포트 번호는 80번으로 했습니다.

DNAT를 이용하면 패킷을 내부로 보낼 수가 있으므로, 웹 요청을 192.168.0.2와 192.168.0.3 두 개중 하나를 선택해서 보내도록 제어할 수 있을 겁니다. iptable를 이용해서 이런 일을 할 수가 있죠.

DNAT 테스트를 위해서 다음과 같은 테스트 환경을 만들었습니다.

Vituralbox를 이용해서 NAT 환경을 만들고, 2 개의 VM에 Apache 웹 서버를 설치했습니다. 테스트를 위해서 윈도우 7이 설치된 노트북을 준비했습니다. DNAT로 Load balnacing를 제대로 구현한다면, HTTP 요청이 Web server 1과 2에 적당히 분배돼야 할 겁니다.

아래와 같이 DNAT 설정을 만들었습니다.

# iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -m state \ 
--state NEW -m statistic --mode nth --every 2 --packet 0 -j DNAT --to 192.168.56.102 
# iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -m state \ 
--state NEW -m statistic --mode nth --every 1 --packet 0 -j DNAT --to 192.168.56.101

SNAT와는 달리 PREROUTING룰을 추가했습니다. 패킷의 IP 주소는 라우팅 되기 전에 nat 룰이 걸려야 하기 때문입니다. 그래야 제대로 라우팅이 되니까요. wlan0 즉 인터넷으로 부터 들어오는 패킷 중 목적지 포트가 80인 포트에 대해서 룰을 적용합니다.

-m 옵션을 이용해서 모듈을 로딩할 수 있습니다. 먼저 state 모듈을 로딩했는데요. 이 모듈을 이용하면 패킷의 연결 상태에 따른 조건을 줄 수가 있습니다. ESTABLISHED, 'NEW등을 줄 수 있습니다. NEW는 새로 연결을 맺는 것을 의미합니다.

다음 statistic 모듈을 로딩했는데요. 이 모듈은 통계에 기반해서 패킷에 조건을 주기 위해서 사용합니다. random과 nth가 있는데, 전 nth를 사용했습니다. 첫번째 연결은 101, 두번째 연결은 102로 보내라 이런 의미입니다. random 이라면 지 맘대로 보내겠죠.

windows 7 노트북에서 172.30.1.3으로 몇번의 http 요청을 보냈습니다. 잘 되네요. 패킷이 어떻게 분배됐는지 iptables로 확인해 봤습니다.

# iptables -t nat -L -v 
Chain PREROUTING (policy ACCEPT 293 packets, 52270 bytes) 
 pkts bytes target     prot opt in     out   source     destination    
    6   312 DNAT       tcp  --  wlan0  any   anywhere   anywhere      
                    tcp dpt:www state NEW statistic mode nth every 2 packet 1 to:192.168.56.102  
    3   156 DNAT       tcp  --  wlan0  any   anywhere   anywhere       
                    tcp dpt:www state NEW statistic mode nth every 2 to:192.168.56.101

1.4.2 성능 측정 결과

위 환경에서 iperf로 성능을 측정 했습니다만, 개인 노트북에 Apache VM올려서 테스트 한 거라서 성능측정의 의미가 없더군요. 안정적으로 로드 밸런싱이 된다는 정도만 확인할 수 있었습니다. 그래 회사에서 유사한 환경을 만들어서 성능측정을 했습니다. 기존의 haproxy와 함께 테스트를 했는데요. 대략 정리하자면 다음과 같습니다.

haproxy

테스트 대역폭 : 1GBits/sec
로드 밸런싱 웹 서버 : apache 서버 4대
haproxy : 약 360 Mbits/sec
iptables DNAT : 약 750 Mbits/sec

참고로 테스트는 KT uCloud 상에서 이루어졌습니다. haproxy와 DNAT서버는 물리적인 서버가 아닌 VM, 즉 가상 라우터로 테스트에 영향을 미칠 수 있습니다.

haproxy는 360MBits가 한계입니다. 이 쯤에서 CPU 자원을 모두 소모해 버립니다. core를 늘리고 - VM이기 때문에 core를 할당할 수가 있습니다. - haproxy를 멀티 프로세스 모드로 작동했지만 하나의 core만을 사용하기 때문에 위 한계를 벗어날 수 없었습니다. 네트워크 인터페이스에 하나의 ring buffer만 만들어지기 때문으로, 물리적인 서버라면 성능이 올라갈 수 있습니다.

iptables는 대역폭의 대부분을 사용하는 것으로 보입니다. CPU 점유율도 5% 미만으로 haproxy에 비할 수 없을 정도로 효율적입니다. 그렇다고 해서 haproxy 보다 무조건 좋은가 하면 그렇지는 않습니다. haproxy는 달리 커널 모드에서 작동하기 때문에, 로드 밸런싱 서버의 웹 서비스를 검사하는 등의 기능은 기대할 수가 없습니다. health 검사 기능을 만드는 수 밖에 없죠.

1.4.3 문제 해결 및 튜닝

/proc/sys/net/ipv4/netfilter/ip_conntrack_count

현재 추적하고 있는 연결의 갯수
/proc/net/ip_conntrack

추적중인 연결의 상세 정보를 확인할 수 있습니다.
/proc/sys/net/ipv4/netfilter/ip_conntrack_max
자원의 한계가 있개 때문에, 연결을 무한정 추적할 수는 없습니다. 추적가능한 연결의 최대 갯수가 정의돼 있습니다. 만약 이 최대 갯수를 추가해서 연결이 이뤄지면 패킷이 드랍됩니다. 아주 바쁜 웹 서버를 DNAT 기반으로 로드밸런싱 할 경우 ip_conntrack_max를 초과해서 패킷이 드랍될 수 있습니다. 이때는 ip_conntrack_max의 값을 변경하면 됩니다.
```
# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max  // 현재 값 
65536 
# echo 131072 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max 
 
```
/sys/module/nf_conntrack_ipv4/parameters/hashsize
연결 정보는 빠른 검색을 위해서 해쉬 테이블에 저장이 됩니다. 해쉬 테이블의 크기를 조정하는 것으로 성능을 튜닝할 수 있습니다. 바쁜 웹서버라면 해쉬 테이블을 크게 해서 선형 검색에 드는 시간을 줄일 수 있겠습니다. 기본 값은 16384 입니다. 만약 백만개 정도의 연결을 관리한다면, 하나의 해쉬 레코드는 1048576/16384 = 64개의 정보를 가지게 될건데, 선형 검색하기에는 지나치게 큰 수 입니다. 32768로 하면 32가 되니 좀더 효율적으로 작동할 겁니다.
```
# echo 32768 > /sys/module/nf_conntrack_ipv4/parameters/hashsize 
 
```

이제 tcp timeout에 대한 시간을 튜닝하면 됩니다. timeout 시간이 길면, 오랫동안 해쉬 테이블에 남아 있으니 성능이 떨어질 수 밖에 없습니다. 해쉬 테이블이 가득 차서 패킷이 드랍될 수도 있습니다. 그러니 가능한 해쉬 테이블을 빠르게 비워주는게 좋겠죠. 물론 그렇다고해서 timeout을 너무 짧게 하면 서비스에 문제가 생길 수 있으니 적당히 조절해 줘야 겠습니다. 관련 파일들은 /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_* 입니다.

리눅스의 기본 값은 굉장히 큽니다. 가능한 연결을 오래 보존하겠다는 얘기죠.

net.ipv4.ip_conntrack_max = 65496 
net.ipv4.netfilter.ip_conntrack_generic_timeout = 600 
net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30 
net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180 
net.ipv4.netfilter.ip_conntrack_udp_timeout = 30 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 259200 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120 
net.ipv4.netfilter.ip_conntrack_max = 65496

이걸 웹 서비스에 맞게 조절을 했습니다. 웹은 연결을 유지하는 서비스가 아니니 timeout을 짧게 가져가도 괜찮을 겁니다. 값은 서비스 종류와 접속량등에 따라서 달라질 수 있으니, 적당히 튜닝해서 사용하시면 되겠습니다.

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 20 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 20 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 20 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 20 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30 
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 20  
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 20

2 stateless NAT

Stateless NAT은 dumb NAT 라고 부르기도 한다. NAT의 가장 간단한 형태로 단지 SNAT은 Source IP 주소만 변환하고, DNAT은 Destination IP반 변환해서 넘긴다. conntrack를 유지 하지 않으므로 stateful NAT 보다 빠르게 작동할 것이라고 생각된다. 반면 1:1 static NAT만 사용할 수 있다.

3 history

작성일 : 2011년 11월 27일
- 2011년 12/2일 : conntrack 관련 내용 추가

category_management

Contents