在 NAT 后面的 libvirt 中更改虚拟机的发送方 IP

Question

要在虚拟网络上设置 NAT，libvirt需要添加一些如下所示的 iptables 规则：

$ iptables -t nat -S
[...]
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
[...]

这些规则中的 MASQUERADE 操作将内部 IP 转换为 NIC 的外部 IP。还有另一个称为 SNAT 的操作，它执行相同的操作，但使用您自己设置的特定源 IP。因此，您可以做的是在您的MASQUERADE规则之前插入一些 SNAT 规则，如下所示：

$ iptables -t nat -I POSTROUTING -s 192.168.1.x ! -d 192.168.1.0/24 -j SNAT --to-source <public ip>
$ iptables -t nat -I POSTROUTING -s 192.168.1.x ! -d 192.168.1.0/24 -p udp -j SNAT --to-source <public ip>:1024-65535
$ iptables -t nat -I POSTROUTING -s 192.168.1.x ! -d 192.168.1.0/24 -p tcp -j SNAT --to-source <public ip>:1024-65535

现在来自 192.168.1.x 的传出流量将获得 <public ip> 的源 ip

Answer 1

要在虚拟网络上设置 NAT，libvirt需要添加一些如下所示的 iptables 规则：

$ iptables -t nat -S
[...]
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
[...]

这些规则中的 MASQUERADE 操作将内部 IP 转换为 NIC 的外部 IP。还有另一个称为 SNAT 的操作，它执行相同的操作，但使用您自己设置的特定源 IP。因此，您可以做的是在您的MASQUERADE规则之前插入一些 SNAT 规则，如下所示：

$ iptables -t nat -I POSTROUTING -s 192.168.1.x ! -d 192.168.1.0/24 -j SNAT --to-source <public ip>
$ iptables -t nat -I POSTROUTING -s 192.168.1.x ! -d 192.168.1.0/24 -p udp -j SNAT --to-source <public ip>:1024-65535
$ iptables -t nat -I POSTROUTING -s 192.168.1.x ! -d 192.168.1.0/24 -p tcp -j SNAT --to-source <public ip>:1024-65535

现在来自 192.168.1.x 的传出流量将获得 <public ip> 的源 ip

在 NAT 后面的 libvirt 中更改虚拟机的发送方 IP

答案1

相关内容