我正在尝试让路由器上的 NAT 发夹式连接正常工作。我无法访问 LAN 上的本地网站主机 (192.168.1.3)。我正在使用 nftables,其配置如下:
enp1s0 = 广域网 enp2s0 = 局域网
#!/sbin/nft -f
flush ruleset
table ip nat {
chain prerouting {
type nat hook prerouting priority -100; policy accept;
iifname "enp1s0" tcp dport { 80, 443 } dnat to 192.168.1.3
meta nftrace set 1
}
chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip saddr 192.168.1.0/24 ip daddr 192.168.1.3 tcp dport { http, https } counter snat 192.168.1.1
oifname "enp1s0" masquerade
meta nftrace set 1
}
}
我到底该如何让发夹式路由发挥作用?我见过有人使用拆分 DNS,但我不太清楚如何设置。
答案1
要在 nftables 中执行 NAT Hairpinning,您可以添加 DNAT 规则,该规则检查包的目标地址是否是您网络的外部 IP。您还需要在内部接口(LAN)上进行伪装。
flush ruleset
define wan = enp1s0
define lan = enp2s0
define webserver = 192.168.1.3
define extip = 1.2.3.4
table ip nat {
chain prerouting {
type nat hook prerouting priority dstnat; policy accept;
tcp dport { 80, 443 } ip daddr $extip dnat to $webserver
}
chain postrouting {
type nat hook postrouting priority srcnat; policy accept;
oif $wan masquerade
oif $lan masquerade
}
}