我们有一台虚拟机,其本地 IP 已通过 NAT 转换为公共 IP。
当请求到达端口 80 上的公共 IP 时,它将被重定向到具有本地 IP 的 VM。
这是我们正在使用的 iptable 规则:
iptables -t nat -A PREROUTING -p tcp -d public-ip --dport 80 -j DNAT --to ip-of-vm:80
在某些情况下,请求必须通过公共 IP 从虚拟机发送到其自身。
但事实并非如此,即虚拟机无法通过公共 IP 与自身通信。我尝试从虚拟机远程登录到公共 IP 端口 80,但即使网络连接良好,也无法建立连接。
有什么方法可以解决这个问题吗?
netstat
在 vm 节目上
$ netstat -ntp |grep 80
tcp 0 1 localip:53067 public-ip:80 SYN_SENT 22226/telnet**
输出iptables-save -c
:
将 192.168.61.31 视为 eth0 上的公共 IP,将 192.168.61.40 视为 eth0:1 上的公共 IP
# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*nat
:PREROUTING ACCEPT [9:1584]
:INPUT ACCEPT [9:1584]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [12:720]
[222:13320] -A PREROUTING -d 192.168.61.40/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.122.43:80
[164:9840] -A PREROUTING -d 192.168.61.31/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.122.42:80
[15:16631] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
[76:5092] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
[0:0] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.122.0/32 -o virbr0 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.61.31
COMMIT
# Completed on Wed Jun 13 13:29:06 2012
# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*mangle
:PREROUTING ACCEPT [491283:64985216]
:INPUT ACCEPT [467366:60033592]
:FORWARD ACCEPT [23752:4941940]
:OUTPUT ACCEPT [472767:103297872]
:POSTROUTING ACCEPT [496519:108239812]
[0:0] -A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Wed Jun 13 13:29:06 2012
# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*filter
:INPUT ACCEPT [467244:60021819]
:FORWARD ACCEPT [23744:4941444]
:OUTPUT ACCEPT [472681:103288146]
[0:0] -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
COMMIT
# Completed on Wed Jun 13 13:29:06 2012
答案1
我认为你忽略了另一条规则:
iptables -A POSTROUTING -s $PRIVATE_NET -o $PRIVATE_INTERFACE -p tcp -m tcp --dport 80 -j SNAT --to-source $PUBLIC_IP