这个问题已经被问过无数次了。几周前,我设法让这个工作在这ServerFault 发布和这数字海洋博客文章。我一定错过了一些简单的东西。
我的目标是简单地在两个执行 NAT 的接口之间转发数据包。具体来说,我想在公共接口和外部 USB NIC 之间转发数据包。
我确保内核配置为允许端口转发:
$ sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
以及特定于接口的转发配置:
net.ipv4.conf.enp0s20u4u3.forwarding = 1
net.ipv4.conf.eno1.forwarding = 1
我创建的规则iptables
是:
iptables -t nat -A PREROUTING -i eno1 --protocol tcp --destination-port 10000 -j DNAT --to-destination 192.168.10.2:1234
iptables -A FORWARD -i eno1 -o enp0s20u4u3 --protocol tcp --destination-port 1234 -j ACCEPT
iptables -t nat -A POSTROUTING -o enp0s20u4u3 --protocol tcp --source 192.168.10.2 --source-port 1234 -j SNAT --to-source 192.168.10.1
然后,我尝试通过端口 10000 建立 TCP 连接(如果我的外部 IP 为 192.168.2.50)来测试此配置。
$ nc -v 192.168.2.50 10000
nc: connect to 192.168.2.50 port 10000 (tcp) failed: Connection refused
如果我的规则条目不正确,则此行为是有意义的。所以,我转储了规则统计数据
$ iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 15 packets, 2885 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- eno1 any anywhere anywhere tcp dpt:ndmp to:192.168.10.2:1234
Chain INPUT (policy ACCEPT 15 packets, 2885 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT tcp -- any enp0s20u4u3 192.168.10.2 anywhere tcp spt:search-agent to:192.168.10.1
因此,入站 TCP 数据包与第一条链规则不匹配PREROUTING
。我不确定错误在哪里;第一条规则是如此简单。这个想法是:
192.168.2.50:10000 的入站流量在专用接口上通过 NAT 转换为 192.168.10.2:1234。