主页 / server / 问题 / 398153
Accepted
ananthan
Asked: 2012-06-13 21:43:40 +0800 CST

NAT ing 到端口 80 不工作,当请求出现时

  • 772

我们有一台带有虚拟机的机器,本地 IP NAT 已转换为公共 IP。

当请求到达端口 80 上的公共 IP 时,它将被重定向到具有本地 IP 的 VM。

这是我们正在使用的 iptable 规则:

iptables -t nat -A PREROUTING -p tcp -d public-ip --dport 80 -j DNAT --to ip-of-vm:80

在某些情况下,请求必须通过公共 IP 从 vm 发送到它自己。

但这并没有发生,即 VM 无法通过公共 IP 与自身通信。我尝试从虚拟机远程登录到公共 IP 端口 80,但即使有网络连接也没有发生连接。

有什么办法可以解决这个问题吗?

netstat在虚拟机上显示

$ netstat -ntp |grep 80
tcp        0      1 localip:53067    public-ip:80        SYN_SENT    22226/telnet**

的输出iptables-save -c

考虑 192.168.61.31 作为 eth0 上的 pub ip 192.168.61.40 作为 eth0:1 上的 pub ip

# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*nat
:PREROUTING ACCEPT [9:1584]
:INPUT ACCEPT [9:1584]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [12:720]
[222:13320] -A PREROUTING -d 192.168.61.40/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.122.43:80
[164:9840] -A PREROUTING -d 192.168.61.31/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.122.42:80
[15:16631] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
[76:5092] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
[0:0] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.122.0/32 -o virbr0 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.61.31
COMMIT
# Completed on Wed Jun 13 13:29:06 2012

# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*mangle
:PREROUTING ACCEPT [491283:64985216]
:INPUT ACCEPT [467366:60033592]
:FORWARD ACCEPT [23752:4941940]
:OUTPUT ACCEPT [472767:103297872]
:POSTROUTING ACCEPT [496519:108239812]
[0:0] -A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Wed Jun 13 13:29:06 2012

# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*filter
:INPUT ACCEPT [467244:60021819]
:FORWARD ACCEPT [23744:4941444]
:OUTPUT ACCEPT [472681:103288146]
[0:0] -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
COMMIT
# Completed on Wed Jun 13 13:29:06 2012
virtualization routing nat port-forwarding iptables

1 个回答

  1. Best Answer

    我认为您缺少另一条规则:

    iptables -A POSTROUTING -s $PRIVATE_NET -o $PRIVATE_INTERFACE -p tcp -m tcp --dport 80 -j SNAT --to-source $PUBLIC_IP

    • 2

相关问题