在设置我们的 OpenStack 环境时,我遇到了一个问题,该问题阻止实例联系主机上运行的服务器。元数据服务(公开 HTTP API)在主机的 8775 端口上运行,OpenStack 网络代码添加以下 DNAT 规则以通过端口 80 上的特殊地址授予访问权限:
-A PREROUTING -d 169.254.169.254/32
-p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:8775
实例通过本地桥接设备连接到主机,并169.254.169.254分配给lo.
虽然此规则成功匹配来自尝试访问的来宾实例的数据包http://169.254.168.254/,但它们永远不会到达侦听服务。
用基本等效的 REDIRECT 替换此 DNAT 规则可以使一切正常工作:
-A PREROUTING -d 169.254.169.254/32
-p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8775
我试图理解为什么 REDIRECT 起作用而 DNAT 失败。从 iptables 文档中不清楚该DNAT规则是否适用于本地目标流量。我希望这里有人可以提供权威的答案,最好有文档支持,或者可以建议我的配置中可能有什么问题会阻止 DNAT 规则按预期工作。
您正在尝试做的事情被内核明确拒绝。
这大概是因为
rp_filter默认为开。可能禁用它可能会改变此行为(尽管这将禁用一些潜在的关键安全保护)。使用 REDIRECT,您不会更改 IP,这就是它起作用的原因。换句话说,如果您要使用 DNAT,您可以将它发送到127.0.0.0/8以外的任何地方。
根据netfilter NAT HOWTO:
它稍微智能一些,因为它选择 DNAT 目标地址作为接收数据包的设备地址。在您的情况下,它将 DNAT 数据包发送到桥接设备上的地址,而不是 127.0.0.1。