使用Realm实现NAT穿透时保留客户端真实IP的解决方案

背景分析

在企业网络架构中，经常需要通过NAT网关将公网流量转发到内网服务器。本文讨论的场景是：在Proxmox VE虚拟化环境中，使用Realm工具将宿主机的80/443端口流量转发到内网虚拟机时，后端服务无法获取客户端真实IP的问题。

问题本质

当流量经过NAT设备转发时，默认情况下数据包的源IP会被替换为NAT设备的IP地址（本例中为172.16.1.1）。这是TCP/IP协议栈的标准行为，并非Realm工具本身的限制。从技术原理上看：

1. 网络层（IP层）负责地址转换
2. 传输层（TCP/UDP）只能看到转换后的地址
3. 应用层程序（如宝塔面板）从socket API获取的远端地址已是转换后的结果

解决方案

方案一：使用iptables DNAT/SNAT

在NAT网关上配置规则，保留原始源IP信息：

# 启用连接跟踪
modprobe nf_conntrack
modprobe nf_conntrack_ipv4

# 配置DNAT规则
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.16.1.200:80
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 172.16.1.200:443

# 配置SNAT规则（保留源IP）
iptables -t nat -A POSTROUTING -p tcp -d 172.16.1.200 --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -d 172.16.1.200 --dport 443 -j MASQUERADE

方案二：启用Proxy Protocol

如果后端服务支持Proxy Protocol（如Nginx、HAProxy等现代Web服务器）：

1. 在Realm配置中启用send_proxy选项
2. 后端服务配置解析Proxy Protocol头部

示例Nginx配置：

server {
    listen 80 proxy_protocol;
    listen 443 ssl proxy_protocol;
    
    set_real_ip_from 172.16.1.1;
    real_ip_header proxy_protocol;
}

技术选型建议

1. 对于简单场景，优先考虑iptables方案，性能损耗最小
2. 复杂架构建议使用Proxy Protocol，可穿透多层代理
3. 云环境需注意安全组/防火墙规则是否放行相关流量

注意事项

1. 确保内核已加载所需模块（nf_conntrack等）
2. 测试环境先验证规则效果
3. 生产环境建议配合连接追踪超时设置
4. 高并发场景注意调整nf_conntrack_max参数

通过合理配置网络层规则或应用层协议，可以有效解决NAT环境下的源IP透传问题，为后续的访问控制、日志分析等提供准确数据。