NAT KVM 访客并将所有访客流量路由到主机 VPNC 连接

tag-icon tag-icon linux iptables port-forwarding kvm-virtualization vpn
NAT KVM 访客并将所有访客流量路由到主机 VPNC 连接

我知道这很荒谬,但我们的管理员说如果我尝试桥接模式,他会把我打死,并且拒绝在我们的 Cisco 交换机上启用端口安全。有没有办法让 NAT 流量进入vnet0适配器tun0?无论如何,如果不连接到 VPN,我就无法获得流量周期、主机或猜测,因此我不需要担心它是否已连接。

我的 iptables 转储(我假设这是我需要修改的)。我假设我可能需要启用 IPv4 转发,但需要比这篇文章提供的更多指导

链输入(策略接受)

目标 保护 优化 源 目标

接受 udp -- 任何地方 udp dpt:domain

接受 tcp -- 任何地方 任何地方 tcp dpt:domain

接受 udp -- 任何地方 udp dpt:bootps

接受 tcp -- 任何地方 任何地方 tcp dpt:bootps

接受所有 -- 任何地方任何地方状态 RELATED,ESTABLISHED

接受 icmp -- 任何地方

接受所有 -- 任何地方 任何地方

接受 tcp -- 任何地方任何地方状态新 tcp dpt:ssh

接受 udp -- 任何地方任何地方状态新 udp dpt:ipsec-nat-t

拒绝所有 - 任何地方任何地方拒绝 - 使用 icmp-host-prohibited

链转发(策略接受)

目标 保护 优化 源 目标

接受所有 -- 任何地方 192.168.122.0/24 状态 RELATED,ESTABLISHED

接受所有 - 192.168.122.0/24 任何地方

接受所有 -- 任何地方 任何地方

拒绝所有 - 任何地方任何地方拒绝 - icmp 端口不可达

拒绝所有 - 任何地方任何地方拒绝 - icmp 端口不可达

拒绝所有 - 任何地方任何地方拒绝 - 使用 icmp-host-prohibited

链输出(策略接受)

目标 保护 优化 源 目标

而我当前的适配器集。eth0,很容易假设,是我的主适配器,tun0来自 VPNC,我假设 vnet0 用于 NAT,以及virbr0我不能使用的桥接适配器。

eth0 链路封装:以太网 HWaddr XX:XX:XX:XX:XX:XX

      inet addr:10.2.25.252  Bcast:10.2.25.255  Mask:255.255.255.0

      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

      RX packets:6993223 errors:0 dropped:0 overruns:0 frame:0

      TX packets:6741080 errors:0 dropped:0 overruns:0 carrier:0

      collisions:0 txqueuelen:1000 

      RX bytes:5811139414 (5.4 GiB)  TX bytes:3373995210 (3.1 GiB)

      Interrupt:21 Memory:fe9e0000-fea00000

lo 链路封装:本地环回

      inet addr:127.0.0.1  Mask:255.0.0.0

      UP LOOPBACK RUNNING  MTU:16436  Metric:1

      RX packets:17912 errors:0 dropped:0 overruns:0 frame:0

      TX packets:17912 errors:0 dropped:0 overruns:0 carrier:0

      collisions:0 txqueuelen:0 

      RX bytes:11251659 (10.7 MiB)  TX bytes:11251659 (10.7 MiB)

tun0 链接封装:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

      inet addr:10.2.7.181  P-t-P:10.2.7.181  Mask:255.255.255.255

      UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1412  Metric:1

      RX packets:203913 errors:0 dropped:0 overruns:0 frame:0

      TX packets:215693 errors:0 dropped:0 overruns:0 carrier:0

      collisions:0 txqueuelen:500 

      RX bytes:167581626 (159.8 MiB)  TX bytes:15541772 (14.8 MiB)

virbr0 链路封装:以太网 HWaddr XX:XX:XX:XX:XX:XX

      inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0

      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

      RX packets:2054 errors:0 dropped:0 overruns:0 frame:0

      TX packets:243 errors:0 dropped:0 overruns:0 carrier:0

      collisions:0 txqueuelen:0 

      RX bytes:253861 (247.9 KiB)  TX bytes:36640 (35.7 KiB)

vnet0 链路封装:以太网 HWaddr XX:XX:XX:XX:XX:XX

      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

      RX packets:2128 errors:0 dropped:0 overruns:0 frame:0

      TX packets:42948 errors:0 dropped:0 overruns:0 carrier:0

      collisions:0 txqueuelen:500 

      RX bytes:289277 (282.4 KiB)  TX bytes:2272356 (2.1 MiB)

答案1

令人尴尬的是,它非常简单。 全部我要做的就是启用 IPv4 转发。

su -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'

只是讨厌看到管子上没有答案的问题。愚蠢的人没有光彩可言,尤其是那些在测试中 ping 不存在的域并认为这意味着网络不工作的人。:-\

相关内容