Что такое DNAT?

Что такое DNAT (Destination Network Address Translation)

DNAT (Destination Network Address Translation), или Трансляция сетевых адресов назначения — это механизм преобразования IP-адреса назначения в IP-пакете, когда он проходит через маршрутизатор или межсетевой экран (файрвол). В отличие от более распространённого SNAT (Source NAT), который изменяет адрес источника (например, для выхода в интернет из локальной сети), DNAT изменяет адрес назначения. Это ключевая технология для организации доступа из внешних сетей к сервисам, расположенным внутри частных сетей (за NAT или файрволом).

Основная цель и сценарии применения DNAT

Перенаправление внешнего трафика на внутренние сервисы (Port Forwarding) — самый частый случай использования. Например, у нас есть веб-сервер с приватным адресом 192.168.1.100 внутри локальной сети, а у шлюза в интернет есть публичный адрес 203.0.113.10. Чтобы внешние пользователи могли обратиться к веб-серверу, мы настраиваем правило DNAT на шлюзе:

"Все входящие пакеты на адрес 203.0.113.10:80 перенаправляй на адрес 192.168.1.100:80".

Таким образом, DNAT является фундаментом для предоставления публичного доступа к серверам, находящимся за NAT (маскарадингом) или в демилитаризованной зоне (DMZ).

Типичные сценарии:

• Публикация веб-серверов (HTTP/HTTPS), почтовых серверов (SMTP, IMAP), VPN-шлюзов.
• Балансировка нагрузки: Входящий трафик на один виртуальный публичный IP может распределяться (DNAT’иться) между несколькими внутренними серверами пула.
• Миграция сервисов: Временное или постоянное перенаправление трафика с одного внутреннего сервера на другой без изменения публичных DNS-записей (меняется только правило DNAT на шлюзе).
• Создание точек входа в тестовые или промежуточные среды.

Принцип работы (на примере веб-сервера)

Рассмотрим детальный поток пакетов:

1. Входящий пакет: Клиент из интернета (C) отправляет запрос на публичный адрес шлюза: C:12345 → GW_public:80 (SYN).
2. Применение DNAT на шлюзе: Межсетевой экран/роутер (GW), получив пакет, проверяет правила. Находит правило DNAT: "dst_port 80 → 192.168.1.100:80". Он изменяет IP-адрес назначения в пакете с своего публичного (GW_public) на приватный адрес веб-сервера (WS_priv). Пакет теперь: C:12345 → WS_priv:80. Далее пакет маршрутизируется во внутреннюю сеть.
3. Обработка сервером: Веб-сервер (WS) получает пакет, видит запрос от адреса C:12345 и формирует ответ: WS_priv:80 → C:12345.
4. Ответ и сопутствующий SNAT (или состояние соединения): Ответный пакет идет на шлюз. Для того чтобы клиент принял пакет (он ведь ждал ответа от GW_public, а не от незнакомого WS_priv), шлюз должен выполнить обратную трансляцию. В современных stateful-файрволах это происходит автоматически благодаря отслеживанию состояний соединений (conntrack). Шлюз находит в своей таблице состояний запись о первоначальном DNAT’ированном соединении и меняет адрес источника в ответном пакете с WS_priv обратно на GW_public. Финальный пакет: GW_public:80 → C:12345.
5. Клиент получает ответ от ожидаемого адреса, и TCP-сессия устанавливается.

Важно: На практике DNAT почти всегда работает в паре с SNAT на обратном пути (или в режиме masquerade) для ответных пакетов, что обеспечивается механизмом отслеживания соединений.

Пример настройки в Linux (iptables)

В Linux DNAT реализуется с помощью подцепи PREROUTING в таблице nat framework’а iptables/nftables. Правило применяется ДО принятия решения о маршрутизации пакета.

# Перенаправить весь входящий TCP+трафик на порт 443 публичного интерфейса
# на внутренний сервер 192.168.1.200 порт 443
sudo iptables -t nat -A PREROUTING -d 203.0.113.10 -p tcp --dport 443 -j DNAT --to-destination 192.168.1.200:443

# Для ответных пакетов необходимо обеспечить SNAT (или использовать MASQUERADE)
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.200 -p tcp --dport 443 -j MASQUERADE
# Однако чаще MASQUERADE вешается на весь исходящий трафий в интернет, что покрывает и этот случай.

# Просмотр правил NAT
sudo iptables -t nat -L PREROUTING -v -n

Важные аспекты и безопасность

• Состоятельность (Stateful): Современные реализации DNAT являются stateful. Файрвол помнит каждое перенаправленное соединение, что критически важно для корректной обработки ответного трафика и работы протоколов с несколькими каналами данных (как FTP).
• Безопасность: DNAT открывает порт во внутреннюю сеть. Это критически важная точка входа. Правило DNAT должно:

    *   Быть максимально строгим (ограничивать исходные IP-адреса `-s` в правиле).
    *   Комбинироваться с правилами фильтрации (в цепях `FORWARD` фаервола), разрешающими только необходимый трафик.
    *   Вестись на отдельном логическом или физическом интерфейсе (DMZ).

• Полный NAT (Full-cone NAT): В некоторых контекстах DNAT является частью механизма "статического" или "полного" NAT, когда определенный публичный порт всегда перенаправляется на один внутренний хост. Это противоположность "симметричному NAT", где преобразование зависит от адресата.

В контексте DevOps и облаков

• Облачные провайдеры (AWS, GCP, Azure): Концепция DNAT воплощена в сервисах Load Balancer (L4) и правилах NAT Gateway / Firewall. Например, в AWS Network Load Balancer (NLB) выполняет DNAT, перенаправляя трафик с публичного IP на IP-адреса EC2-инстансов в приватных подсетях.
• Kubernetes: Сервисы типа LoadBalancer или NodePort используют механизмы, аналогичные DNAT, на уровне kube-proxy (через iptables или IPVS), чтобы перенаправлять трафик с порта ноды на порт пода.
• Infrastructure as Code (IaC): Правила DNAT описываются декларативно в терраформ-конфигурациях, манифестах облачных провайдеров или ансибл-плейбуках, что позволяет управлять доступом к сервисам как кодом.

Итог: DNAT — это не просто "проброс портов", а базовый сетевой примитив, позволяющий гибко управлять потоком входящего сетевого трафика, обеспечивая безопасную и контролируемую публикацию внутренних сервисов для внешнего мира. Понимание его работы необходимо для проектирования отказоустойчивой сетевой архитектуры, настройки балансировщиков нагрузки и обеспечения безопасности периметра.