我能够设置一个网络命名空间并启动一个在命名空间内侦听 127.0.0.1 的服务器:
# ip netns add vpn
# ip netns exec vpn ip link set dev lo up
# ip netns exec vpn nc -l -s 127.0.0.1 -p 80 &
# ip netns exec vpn netstat -tlpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:80 0.0.0.0:* LISTEN 5598/nc
之后,我可以连接到命名空间内的服务器:
# ip netns exec vpn nc 127.0.0.1 80 -zv
localhost [127.0.0.1] 80 (http) open
但我无法连接到命名空间之外的服务器:
# nc 127.0.0.1 80
(UNKNOWN) [127.0.0.1] 80 (http) : Connection refused
如何配置 iptables 或命名空间将流量从全局命名空间转发到 vpn 命名空间?
答案1
第一:我认为你不能通过使用 127.0.0.0/8 和/或环回接口(如 lo)来实现这一点。您必须使用其他一些 IP 和接口,因为 127.0.0.0/8 和环回有一些硬连线的特定内容。
那么方法肯定不止一种,但这里有一个例子:
# ip netns add vpn
# ip link add name vethhost0 type veth peer name vethvpn0
# ip link set vethvpn0 netns vpn
# ip addr add 10.0.0.1/24 dev vethhost0
# ip netns exec vpn ip addr add 10.0.0.2/24 dev vethvpn0
# ip link set vethhost0 up
# ip netns exec vpn ip link set vethvpn0 up
# ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.134 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=0.100 ms
第一个命令凭空创建一对通过虚拟以太网电缆连接的虚拟以太网接口。第二条命令将这些接口之一移动到 netns vpn 中。将其视为类似于套接字对(2)或管道(2)之类的东西:进程创建一对,然后分叉,每个进程仅保留该对的一端并且它们可以通信。
通常(LXC,virt-manager,...)当你有很多网络时,还会有一个桥将所有东西放在同一个 LAN 中。
一旦到位,对于主机来说它就像任何路由器一样。启用 ip 转发(如果可以的话,请更加严格:至少 vethhost0 和主界面需要它):
# echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
添加一些 DNAT 规则,例如:
# iptables -t nat -A PREROUTING ! -s 10.0.0.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2
现在您可以使用以下命令在 VPN 内添加默认路由:
# ip netns exec vpn ip route add default via 10.0.0.1
或者,添加 SNAT 规则,让所有内容都被视为来自 VPN 内的 10.0.0.1。
# iptables -t nat -A POSTROUTING -d 10.0.0.2/24 -j SNAT --to-source 10.0.0.1
完成此操作后,您可以从任何其他主机进行测试,但不能从主机本身进行测试。为此,还需要添加与之前的 DNAT 类似的 DNAT 规则,但在 OUTPUT 中并将其更改为您自己的 IP(否则任何传出 http 连接也会更改)。假设您的 IP 是 192.168.1.2:
# iptables -t nat -A OUTPUT -d 192.168.1.2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.2
现在,如果您从主机连接到自身,它甚至可以工作如果您不使用环回 IP,而是使用属于具有上述 nat 规则的主机的任何其他 IP。假设您的 IP 是 192.168.1.2:
# ip netns exec vpn nc -l -s 10.0.0.2 -p 80 &
[1] 10639
# nc -vz 192.168.1.2 80
nc: myhost (192.168.1.2) 80 [http] open
#
[1]+ Done ip netns exec vpn nc -l -s 10.0.0.2 -p 80