我的 iptables 设置:
$ sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A FORWARD -j LOG --log-prefix "forward:"
$ sudo iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A POSTROUTING -j LOG --log-prefix "postrouting:"
$ cat /proc/sys/net/ipv4/ip_forward
1
当我开始 ping ( ping 192.168.0.73) 时,ICMP 数据包出现在向前链如预期:
[439971.459934] forward:IN=cb-localnet OUT=cb-localnet PHYSIN=cg.co92 PHYSOUT=cg-localnet MAC=ce:33:5a:f8:20:2c:36:fd:f6:30:12:b5:08:00 SRC=192.168.50.42 DST=192.168.0.73 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=36065 DF PROTO=ICMP TYPE=8 CODE=0 ID=29 SEQ=1
[439971.459972] forward:IN=cc-localnet OUT=wlp2s0 MAC=ce:33:5a:f8:20:2c:36:fd:f6:30:12:b5:08:00 SRC=192.168.50.42 DST=192.168.0.73 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=36065 DF PROTO=ICMP TYPE=8 CODE=0 ID=29 SEQ=1
它出现两次是因为有一座桥(名为CB-本地网) 涉及。
对于转发的 TCP 流量 ( telnet 192.168.0.73 2222) 也是如此,它显示在向前链:
[440712.683183] forward:IN=cb-localnet OUT=cb-localnet PHYSIN=cg.co92 PHYSOUT=cg-localnet MAC=ce:33:5a:f8:20:2c:36:fd:f6:30:12:b5:08:00 SRC=192.168.50.42 DST=192.168.0.73 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=20623 DF PROTO=TCP SPT=59052 DPT=2222 WINDOW=64240 RES=0x00 SYN URGP=0
[440712.683222] forward:IN=cc-localnet OUT=wlp2s0 MAC=ce:33:5a:f8:20:2c:36:fd:f6:30:12:b5:08:00 SRC=192.168.50.42 DST=192.168.0.73 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=20623 DF PROTO=TCP SPT=59052 DPT=2222 WINDOW=64240 RES=0x00 SYN URGP=0
但是,这些转发的数据包不会显示在后布线链。我该如何解决这个问题?我想修复它,因为我想启用伪装:
$ sudo iptables -t nat -A POSTROUTING -o wlp2s0 -j MASQUERADE
(这不起作用,ping 没有得到回复。)
我使用的是 Ubuntu 18.04。
答案1
看起来 Linux 5.4.0 做了一些优化,防止某些数据包通过后布线。
使日志记录工作的解决方案是向后布线链。这些工作中的任何一个(除了-j LOG):
$ sudo iptables -t nat -A POSTROUTING -o . -j MASQUERADE
$ sudo iptables -t nat -A POSTROUTING -o . -j NETMAP --to 0
即使在此之后,也并非所有数据包都会被记录。例如,只有第一个(与序列=0) ICMP 回显请求,并且仅记录第一个 TCP 数据包(带有 SYN)。
我能够-j MASQUERADE通过运行以下命令解决实际的 NAT 问题(即不起作用):
$ echo 0 | sudo tee /proc/sys/net/bridge/bridge-nf-call-iptables