我正在尝试在 Ubuntu 14.04 中使用 TPROXY 将 HAProxy 用作完全透明的代理。HAProxy 将在第一台服务器上设置,并具有eth0 111.111.250.250和eth1 10.111.128.134。单个平衡服务器也有eth1和。是面向公众的网络接口,而是两个服务器所在的私有网络。eth0eth0eth1
问题:我能够直接 (通过eth1) 连接到平衡服务器的端口 1234,但无法通过 Haproxy 端口 1234 (通过 重定向到 1234 eth0) 访问平衡服务器。我是否遗漏了此配置中的某些内容?
从中删除该行source 0.0.0.0 usesrc clientip后/etc/haproxy/haproxy.cfg,haproxy 可以工作,但不透明。
在 HAProxy 服务器上
当前内核是3.13.0-24-generic。iptables v1.4.21被使用,我认为它支持TPROXY,但不确定如何检查。
内核似乎有TPROXY支持:
# grep TPROXY /boot/config-3.13.0-24-generic
CONFIG_NETFILTER_XT_TARGET_TPROXY=m
HAProxy 是在 TPROXY 支持下编译的:
haproxy -vv
HA-Proxy version 1.5.3 2014/07/25
Copyright 2000-2014 Willy Tarreau <[email protected]>
Build options :
TARGET = linux26
CPU = x86_64
CC = gcc
CFLAGS = -g -fno-strict-aliasing
OPTIONS = USE_LINUX_TPROXY=1 USE_LIBCRYPT=1 USE_STATIC_PCRE=1
Default settings :
maxconn = 2000, bufsize = 16384, maxrewrite = 8192, maxpollevents = 200
Encrypted password support via crypt(3): yes
Built without zlib support (USE_ZLIB not set)
Compression algorithms supported : identity
Built without OpenSSL support (USE_OPENSSL not set)
Built with PCRE version : 8.31 2012-07-06
PCRE library supports JIT : no (USE_PCRE_JIT not set)
Built with transparent proxy support using: IP_TRANSPARENT IPV6_TRANSPARENT IP_FREEBIND
Available polling systems :
epoll : pref=300, test result OK
poll : pref=200, test result OK
select : pref=150, test result OK
Total: 3 (3 usable), will use epoll.
在 中/etc/haproxy/haproxy.cfg,我配置了一个端口以具有以下选项:
listen test1235 :1234
mode tcp
option tcplog
balance leastconn
source 0.0.0.0 usesrc clientip
server balanced1 10.111.163.76:1234 check inter 5s rise 2 fall 4 weight 4
iptables添加了以下规则
iptables -t mangle -N DIVERT
iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
iptables -t mangle -A DIVERT -j MARK --set-mark 111
iptables -t mangle -A DIVERT -j ACCEPT
ip rule add fwmark 111 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100
sudo ip route flush cache
和
echo 1 >/proc/sys/net/ipv4/ip_forward
在平衡的服务器上
我/etc/networking/interfaces已将网关设置为eth1HAProxy 盒10.111.128.134并重新启动网络。
auto eth0 eth1
iface eth0 inet static
address 111.111.250.250
netmask 255.255.224.0
gateway 111.131.224.1
dns-nameservers 8.8.4.4 8.8.8.8 209.244.0.3
iface eth1 inet static
address 10.111.163.76
netmask 255.255.0.0
gateway 10.111.128.134
ip route给出:
default via 111.111.224.1 dev eth0
10.111.0.0/16 dev eth1 proto kernel scope link src 10.111.163.76
111.111.224.0/19 dev eth0 proto kernel scope link src 111.111.250.250
答案1
我相信您的问题可能与没有转发或 nat 规则有关,但您需要转发规则来引导 eth0 <-> eth1 之间的流量。
IE:
Chain FORWARD (policy ACCEPT 7601 packets, 661K bytes)
pkts bytes target prot opt in out source destination
18M 47G ACCEPT all -- eth1 eth0 0.0.0.0/0 0.0.0.0/0
17M 2922M ACCEPT all -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
另外,之前让我措手不及的一件事是,当我使用多个设备时,在 mangle 表上指定接口设备:
Chain PREROUTING (policy ACCEPT 35M packets, 50G bytes)
pkts bytes target prot opt in out source destination
59M 52G divert tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 socket
其中不应指定 eth1,因为我们使用的是 eth0/eth1 甚至 bond0 和 eth1。
最后,你要确保你有 natting 规则,即:
Chain POSTROUTING (policy ACCEPT 1420K packets, 85M bytes)
pkts bytes target prot opt in out source destination
1K 494M PUBLICSNAT all -- * eth1 0.0.0.0/0 0.0.0.0/0
Chain PUBLICSNAT (1 references)
pkts bytes target prot opt in out source destination
1K 494M SNAT all -- * eth1 10.1.1.0/24 0.0.0.0/0 to:8.8.8.8-8.8.8.10
1K 336K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0