我有一台机器(运行 openSUSE Leap 15.3),它有多个公网 IP 地址,用作一些其他主机的网关。我需要让网关上的其中一个公网 IP 充当与其连接的其中一台机器(流量透明转发)。
我iptables-save当前的输出如下(包含一些不相关的 Docker 规则,但敏感部分已被删除):
# Generated by iptables-save v1.8.7
*filter
:INPUT ACCEPT [9747976:4527721149]
:FORWARD ACCEPT [12638879:4423560060]
:OUTPUT ACCEPT [8913992:2531503118]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed
# Generated by iptables-save v1.8.7
*nat
:PREROUTING ACCEPT [480085:188100350]
:INPUT ACCEPT [62951:4107383]
:OUTPUT ACCEPT [150:9857]
:POSTROUTING ACCEPT [0:0]
:DOCKER - [0:0]
-A PREROUTING -d <REDACTED_FORWARDING_IP>/32 -i eth0 -j DNAT --to-destination 10.125.0.2
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
COMMIT
# Completed
据我所知,唯一相关的部分是:
-A PREROUTING -d <REDACTED_FORWARDING_IP>/32 -i eth0 -j DNAT --to-destination 10.125.0.2
-A POSTROUTING -j MASQUERADE
这仍然存在一些问题:
- 当内部机器启动出站连接时,其 IP 将被 NAT 为网关的主地址,而不是我试图提供给它的地址。
- 当接收连接时,它们似乎来自网关的本地 IP,而不是原始 IP(应该有办法解决这个问题,因为这是默认网关)。
- 如果服务正在
0.0.0.0网关上监听,则该端口上的连接不会被重定向,而是转到该服务。
我尝试将一些其他问题的答案拼凑起来,例如:
- https://superuser.com/q/1130250
- https://superuser.com/q/1513820
- Iptables 将所有流量转发到指定端口,转发到另一台设备
- 使用 iptables 将所有传入流量从辅助公共 IP 重定向到内部 IP 地址
- 使用 iptables 将所有传入流量从辅助公共 IP 重定向到内部 IP 地址
- https://superuser.com/q/681705
- https://unix.stackexchange.com/q/395008/381510
但由于我缺乏丰富的 iptables 经验,我无法解决我的问题,或者解决了一些问题但其他问题又出现。
有人能建议一些规则来实现这个效果吗?或者有没有不用 iptables 的方法?
答案1
当内部机器启动出站连接时,其 IP 将被 NAT 为网关的主地址,而不是我试图提供给它的地址。
应该这样解决:
iptables -t nat -I POSTROUTING 1 -s 10.125.0.2 -o eth0 -j SNAT --to-source <FORWARD_IP>
它被添加到前面,因此它会首先触发,检测数据包来自该系统并将其转换为指定的 IP,而不是从接口中选择一个地址。
当接收连接时,它们似乎来自网关的本地 IP,而不是原始 IP(应该有办法解决这个问题,因为这是默认网关)。
此问题与以下 SNAT 规则有关:
iptables -t nat -A POSTROUTING -j MASQUERADE
这是方式太宽。您正在进行 SNAT一切在每个方向,这既不高效也不安全。它匹配所有内容,包括您的 DNAT 数据包。它们首先被目标转换为私有地址,然后根据此规则将它们的源转换为从分配了 10.xxx 地址的私有接口中选择的地址。
我怀疑您试图用一条规则覆盖所有公共接口和所有私有网络。虽然 Linux 中有地址列表(IP 集),但没有接口列表,因此仅用一条规则无法正确执行此操作。
过滤至少源地址(例如哪个要源翻译的地址):
iptables -t nat -A POSTROUTING -s 10.125.0.0/24 -j MASQUERADE
如果您有多个私人网络,请添加更多此类规则。
我认为最好为每个公共接口创建单独的规则,这样通过私有接口发出的数据包就永远不会被源转换,无论它们的源地址是什么,例如iptables -t nat -A POSTROUTING -s 10.125.0.0/24 -o eth0 -j MASQUERADE等等。这样从 10.xxx 到 172.xxx 的数据包也不会被转换,并且两个网络中的服务将直接看到彼此的 IP,仍然保留在 FORWARD 过滤器链中选择性过滤它们的可能性。
如果服务正在网关上监听 0.0.0.0,则该端口上的连接不会被重定向,而是转到该服务。
最后,我不太理解这一点。我在评论中问了,你没有回答。哪些连接,来自哪里,源 IP 是什么?
DNAT 处理发生在路由决策之前,这就是为什么该链被称为“PREROUTING”。它从不检查是否有某个本地进程正在监听该端口。本地服务有机会回答的唯一方法是让数据包通过 INPUT 链。为此,路由代码必须决定它是发往本地机器的,因此它必须完全不被转换或被转换为该系统分配的某个地址。
根据现行规则,从私有网络发送到公共 IP 的数据包应该不是被翻译,因为它们不是通过 传入的eth0。因此它们将由本地服务提供服务。但这不取决于本地服务是否正在运行;如果没有运行,您将看到“连接被拒绝”。
如果您需要通过相同的 DNAT 规则转换从 LAN 到 <FORWARD_IP> 的数据包,请删除该-i eth0匹配:
iptables -A PREROUTING -d <REDACTED_FORWARDING_IP>/32 -j DNAT --to-destination 10.125.0.2
但是,我反对如此宽泛的规则。在我看来,DNAT 规则最好尽可能严格,因此您最好根据在 10.125.0.2 上运行的服务的协议 (tcp/udp) 和端口进行过滤。如果这是 Web 服务器,则仅转发 tcp/80 和 tcp/443,如下所示:iptables -A PREROUTING -d <REDACTED_FORWARDING_IP>/32 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.125.0.2。
问题是什么?比如说,你正在用 ping 检查一些东西。这个 ping 结果将取决于这个内部系统状态,实际上它是你正在 ping 的系统。这很令人困惑。这不是大多数系统管理员在 ping 路由器时希望看到的行为。所以最好让主机回答 ping。