我想将 snmp 从一个 LAN 转发到另一个 LAN。我相信我找到了一种可行的方法(从外部到内部),但遗憾的是 box1 似乎无法回复。(从内部到外部)
我想要进行的设置:
box1 box2 box3
[10.1.255.245] -------------------------- [public_ip]
| eth0-|-eth1 |
|-----------3161---------------- 3161 ----|
这些是与 BOX 2 相关的 iptables 规则,
-A PREROUTING -i eth1 -p udp -m udp --dport 3161 -j DNAT --to-destination 10.1.255.244:3161
-A FORWARD -d 10.1.255.244/32 -p udp -m udp --dport 3161 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
现在我验证了来自box3的包裹已经被box1接收到。
tcpdump 'port 3161'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:46:03.887718 IP x-20150810-092601.x.be.53329 > compute-0-2.local.doc1lm: UDP, length 48
13:46:04.888851 IP x-20150810-092601.x.be.53329 > compute-0-2.local.doc1lm: UDP, length 48
13:46:05.889977 IP x-20150810-092601.x.be.53329 > compute-0-2.local.doc1lm: UDP, length 48
13:46:06.891108 IP x-20150810-092601.x.be.53329 > compute-0-2.local.doc1lm: UDP, length 48
因此,我假设 snmp 进程无法响应位置,因为它不知道如何找到这个局域网外的 ip...我该如何添加它?这是 box1 上的路由:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
255.255.255.255 * 255.255.255.255 UH 0 0 0 eth0
box2 box2 255.255.255.255 UGH 0 0 0 eth0
224.0.0.0 * 255.255.255.0 U 0 0 0 eth0
10.1.0.0 * 255.255.0.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 1002 0 0 eth0
link-local * 255.255.0.0 U 1003 0 0 eth1
192.168.0.0 * 255.255.0.0 U 0 0 0 eth1
default storage 0.0.0.0 UG 0 0 0 eth1
或者我遗漏了其他明显的东西?
答案1
SNMP 通过 UDP 工作,因此没有会话,就像 TCP 一样。因此,您应该在 box2 上添加额外的 NAT 条目,以允许数据包从 box1 传输到 box3。
像这样:
-A PREROUTING -i eth0 -p udp -m udp --dport 3161 -j DNAT --to-destination <RealIP>:3161
-A FORWARD -d <RealIP>/32 -p udp -m udp --dport 3161 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT