Início / unix / Perguntas / 794080
Accepted
Luca De Feo
Asked: 2025-04-23 22:18:25 +0800 CST

Como systemd-nspawn e systemd-networkd implementam NAT?

  • 772

Estou tentando entender como o systemd-nspawn gerencia o acesso à internet e o encaminhamento de portas para contêineres.

Configurei um contêiner nspawn com --network-vethe um encaminhamento de porta com --port=80. Tanto o host quanto o contêiner executam systemd-networkd. Tudo funciona perfeitamente: o contêiner consegue acessar a internet e o tráfego de entrada na porta 80 é encaminhado para o contêiner.

Gostaria de entender e inspecionar como o systemd gerencia isso. Eu esperava (ingenuamente?) encontrar regras relacionadas no iptables, mas se eu executar, iptables -t ... -Stodas as tabelas parecem vazias, tanto no host quanto no contêiner. Também executei o mesmo comando nsenterpara entrar no namespace de rede do veth, mas ainda não vejo regras.

Então, o systemd não usa o Netfilter para NAT/Masquerading? Se não, o que ele usa?

networking

1 respostas

  1. Best Answer

    O iptables foi substituído pelo mais novo nftables , que o systemd usará se disponível.

    Então, para ver as regras criadas pelo systemd, tentesudo nft list ruleset

    Na minha máquina com systemd 257.5 e um contêiner nspawn em execução, vejo:

    ❯ sudo nft list table ip io.systemd.nat
table ip io.systemd.nat {
        set masq_saddr {
                type ipv4_addr
                flags interval
                elements = { 192.168.240.32/28 }
        }

        map map_port_ipport {
                type inet_proto . inet_service : ipv4_addr . inet_service
        }

        chain prerouting {
                type nat hook prerouting priority dstnat + 1; policy accept;
                fib daddr type local dnat ip to meta l4proto . th dport map @map_port_ipport
        }

        chain output {
                type nat hook output priority dstnat + 1; policy accept;
                ip daddr != 127.0.0.0/8 oif "lo" dnat ip to meta l4proto . th dport map @map_port_ipport
        }

        chain postrouting {
                type nat hook postrouting priority srcnat + 1; policy accept;
                ip saddr @masq_saddr masquerade
        }
}
    • 4

relate perguntas