我有一个由 hetzner 托管的服务器,它有一个运行 proxmox 和一些虚拟机的公共 IP 地址。这个 ip 地址在 /etc/interfaces 中配置,如下所示:
auto enp35s0
iface enp35s0 inet static
address {{my-public-ip}}/{{subnet}}
gateway {{hetzner-gateway}}
up route add -net {{hetzner-ip}} netmask 255.255.255.192 gw {{hetzner-gateway}} dev enp35s0
这个配置是由 hetzner 完成的。
因为我不想从 hetzner 获得额外的 IP 地址,所以我将该 IP 伪装成内部 VM 网络:
auto vmbr0
iface vmbr0 inet static
address 172.16.0.1/24
bridge-ports none
bridge-stp off
bridge-fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
有了这个,我的虚拟机可以访问互联网并且可以相互访问。
因为 iptables 端口转发对我来说有点太复杂了,所以我开始使用 firewalld。在那里,我将 enp35s0 接口分配给外部区域,并将 vmbr0 分配给受信任。我知道也许我应该将它分配给 internal 但目前它并没有真正产生影响(或者我认为在我的问题案例中是这样)。
我现在有一个在 ip 172.16.0.3 在端口 38080 上运行的服务。为了访问这个服务,我在 firewalld 中添加了一个端口转发规则:port=38080:proto=tcp:toport=38080:toaddr=172.16.0.3
. 这样我就可以从这台服务器机器之外访问该服务。现在的问题是,如果我使用像 uptime-kuma 这样的软件并在同一台物理机器上的虚拟机中运行它,我无法在端口 38080 上访问该服务,因为端口转发仅针对外部请求进行。重要的是,uptime-kuma 使用的主机名是解析为我的主机的公共 IP 地址的 FQDN。因此,为了使这成为可能,我将相同的端口转发规则添加到 firewalld 的受信任区域,因为我的 vmbr0 接口在那里,并且来自该接口的请求。现在这个连接确实有效,我的软件(uptime-kuma)可以访问我的服务。
现在最大的问题是,来自虚拟网络内部的每个想要使用端口 38080 的请求都会被重定向到该 VM(172.16.0.3),即使是那些转到完全不同的服务器的请求。
如果请求实际上是针对主机的,我如何告诉 firewalld 仅重定向该流量?
所以我真的找不到解决防火墙行为的方法,但我发现了其他一些东西,使得可信区域中的端口转发规则变得不必要。通过将解析为主机公共 IP 的 FQDN 添加到 VM 内的 /etc/hosts 文件中,我不再需要端口转发,因为它会立即再次连接到自身(这是我首先想要的)。通过在受信任区域内使用该端口转发规则,不再需要,我可以再次将这些端口用于外部请求。