主页 / server / 问题

问题[dnat](server)

Martin Hope
nobody
Asked: 2021-11-16 12:04:08 +0800 CST
  • 0

我在数据中心有一台服务器,它是 Proxmox 服务器。在服务器上(其中之一,它们位于 Proxmox 集群中)我托管了各种 VM。

VM 上的服务通过 iptables(使用 ufw)natting 公开,如下例所示:

-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 21 -j DNAT --to-destination <local_ip>:<port>
-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 23 -j DNAT --to-destination <local_ip>:<port>
-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 10090:10100 -j DNAT --to-destination <local_ip>:<port>

VM 使用虚拟网桥 nic 连接,例如 Proxmox 状态的文档。(Proxmox 文档)这行得通。然而,有一个缺点。VM 没有收到连接方的源 IP。这给了我有限的 IP 过滤选项,登录各种其他 VM。

现在我正在寻找一个类似的 nftables 解决方案(它将或已经取代 iptables)。

有没有办法设置允许源 IP 发送到 VM 的 natting 或转发规则?

iptables nftables proxmox dnat
Martin Hope
mrmc
Asked: 2020-08-20 03:13:40 +0800 CST
  • 0

我想用 iptables 转发流量,而不向发送主机显示不同的 ip/port。

我的应用程序使用 TCP 侦听主机 xx15.42,端口 23555。客户端将连接到 xx15.42:5555。我希望将连接转发到端口 23555 而不将该端口暴露给客户端。

我已经尝试过使用 DNAT:

iptables -t nat -A PREROUTING -p tcp --dport 5555 -j DNAT --to-destination x.x.15.42:23555

但是对于客户端,它将显示他们正在连接到端口 23555。

我也尝试使用 REDIRECT,但由于某种原因根本不起作用。客户端无法连接。

iptables -t nat -A PREROUTING -p tcp --dport 5555 -d x.x.15.42 -j REDIRECT --to-port 23555

如何转发此流量,同时使其看起来像应用程序正在侦听端口 5555?

nat iptables dnat
Martin Hope
Henrik_er
Asked: 2020-05-10 04:16:50 +0800 CST
  • 2

我一直在寻找,但似乎无法找到我的具体问题的答案。我今天在预路由下有以下规则: iifname "br0" udp dport 53 counter dnat to 192.168.22.5:53

但是,我有一个问题,IP 地址 192.168.22.5 也在“br0”上。所以手头的问题是,我怎样才能让 nftables 忽略这个 IP 并允许它访问网络上的端口 53(这是我的 pihole),但将所有其他端口 53 udp 数据重定向到它?

感谢您的回复!

firewall routing nftables dnat
Martin Hope
kevin
Asked: 2013-02-04 09:12:38 +0800 CST
  • 1

您将如何设置 iptables 以将某些端口(例如 tcp 端口 80)的数据包发送到正确的机器(并非都在同一子网中)?

例如:
iptables -t nat -A PREROUTING -s 0.0.0.0//0 -p tcp -d $NATIP -j DNAT --to-destination $machineIP
iptables -t nat -A POSTROUTING -s $machineIP -p tcp -d 0.0.0.0//0 -j SNAT --to-source $NATIP

以上将正确地向一台机器发送数据包或从一台机器发送数据包,但是你将如何为 n 台机器执行此操作。因为我不相信像 192.168.1.0/25 这样的通用目的地会起作用。

您是否以某种方式标记数据包,以便当它们返回时您可以将它们发送到正确的 IP?
这是用其他命令完成的吗?

dnat
Martin Hope
mikl
Asked: 2012-06-30 16:55:43 +0800 CST
  • 1

我的服务器有几个公共 IP,并且正在运行一堆具有私有 IP 地址的虚拟机。

例如,我想将 232.21.23.23(公共)上的端口 80、443 和 8080 映射到 192.168.122.12(私有)。我尝试了几种不同的 NAT 映射,但似乎都不起作用:

# This doesn't work.
DNAT           net              loc:192.168.122.12  tcp  80,443,8080  -           232.21.23.23

# Neither does this.
DNAT           $FW              loc:192.168.122.12  tcp  80,443,8080  -           232.21.23.23

# Nor this.
DNAT           net:232.21.23.23 loc:192.168.122.12  tcp  80,443,8080

# I have no idea what I'm doing.
DNAT           $FW:232.21.23.23 loc:192.168.122.12  tcp  80,443,8080

谁能指出我正确的方向?

dnat shorewall