主页 / server / 问题 / 1034595
Accepted
Polizi8
Asked: 2020-09-20 15:59:54 +0800 CST

NFTables:是否可以在不伪装的情况下转发流量?

  • 772

我有一个远程服务器(B),它将某些传入流量转发到不同服务器的另一个端口(A,dest)。
使用“伪装”,我只能看到来自转发服务器 (B) 的流量,是否可以看到来自原始来源 (C) 的流量?如果我将“伪装”替换为“接受”,我将无法再到达目的地 (A) 的 8080 端口。

草图:

C -> B:25 -> A:8080
# A receives C requests as if B made them
# Unfortunately this breaks some implementations like SPF

NFTables 配置:

# define destination address
define dest = 10.0.0.2

# table for smtp forwarding
table ip smtp {
 chain pre {
  type nat hook prerouting priority -100
  tcp dport 25 dnat to $dest:8080
 }
 chain post {
  type nat hook postrouting priority 100
  ip daddr $dest masquerade
 }
}
smtp port-forwarding nftables masquerade ip-forwarding

1 个回答

  1. Best Answer

    由于Tero Kilkanen很高兴回答我的问题,我希望可以为您提供一个最小的工作示例。

    前提条件:

    1. IP 转发必须sysctl -a | grep forwardremote server
    2. 两台服务器必须在同一个网络中
    3. different server必须拥有remote server默认网关(在您的情况下这可能吗?)
    4. 内核应该是 4.18 否则你还需要定义一个后路由规则(参见nftables wiki
    5. 否则,您remote server的外部接口将相应替换enp35s0

    鉴于此,您可以使用以下 NFTables 规则

    table ip nat {
        chain prerouting {
                type nat hook prerouting priority 0; policy accept;
                iif "enp35s0" tcp dport 25 dnat to 10.0.0.2:8080
        }
}
table inet filter {
        chain input {
                type filter hook input priority 0; policy accept;
        }

        chain forward {
                type filter hook forward priority 0; policy accept;
        }

        chain output {
                type filter hook output priority 0; policy accept;
        }
}

    调试检查 tcpdumpdifferent server

    • 0

相关问题