关于【iptables】的问题- 第1页

Bernd Storath

Asked: 2025-03-27 15:53:34 +0800 CST

Podman、WireGuard 和 nftables

6

我在 Podman 容器中运行 WireGuard。我有一个像这样的 Hub and Spoke 配置

Client A <--> Hub <--> Client B
               |
               |
            Internet

这是目前 Hub 上的 WireGuard 配置

[Interface]
PrivateKey = ...
Address = 10.8.0.1/24, fdcc:ad94:bacf:61a4::cafe:1/112
ListenPort = 51820
MTU = 1420
PostUp = iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -s fdcc:ad94:bacf:61a4::cafe:0/112 -o eth0 -j MASQUERADE; ip6tables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -A FORWARD -o wg0 -j ACCEPT;
PostDown = iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -D INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -s fdcc:ad94:bacf:61a4::cafe:0/112 -o eth0 -j MASQUERADE; ip6tables -D INPUT -p udp -m udp --dport 51820 -j ACCEPT; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -D FORWARD -o wg0 -j ACCEPT;

# Client A
[Peer]
PublicKey = hcU3LDJmlsInRSDFErt+Kp2CZBRzSggvmfOkSKcGx1A=
PresharedKey = ...
AllowedIPs = 10.8.0.2/32, fdcc:ad94:bacf:61a4::cafe:2/128

但是因为 Hub 在 OCI 上运行的是 AlmaLinux 9.5，所以我不得不将 iptables 设置为使用 iptables-legacy。

现在我正尝试迁移到 nftables

这是新的配置

[Interface]
...
PostUp = nft add table inet wg_table; nft add chain inet wg_table postrouting { type nat hook postrouting priority 100 \; }; nft add rule inet wg_table postrouting ip saddr 10.8.0.0/24 oifname eth0 masquerade; nft add rule inet wg_table postrouting ip6 saddr fdcc:ad94:bacf:61a4::cafe:0/112 oifname eth0 masquerade; nft add chain inet wg_table input { type filter hook input priority 0 \; policy accept \; }; nft add rule inet wg_table input udp dport 51820 accept; nft add chain inet wg_table forward { type filter hook forward priority 0 \; policy accept \; }; nft add rule inet wg_table forward iifname "wg0" accept; nft add rule inet wg_table forward oifname "wg0" accept;
PostDown = nft delete table inet wg_table
...

我尝试暂时保持接近原始 iptables 规则。

但是用我的手机却不行，我无法用新规则连接到互联网。即使使用 iptables-nft 也不起作用

Magnus

Asked: 2025-03-13 05:41:49 +0800 CST

是否有可能在没有网桥的情况下与 Linux 上的 Docker 容器进行通信？

5

这周我一直在阅读有关网络方面的资料，但我的理解仍然存在一个看似重大的漏洞，该漏洞与我的主机可以访问哪些 IP 地址以及如何访问有关。

具体来说，ip -br addr表现为：

lo               UNKNOWN        127.0.0.1/8 ::1/128
tunl0@NONE       DOWN
sit0@NONE        DOWN
ip6tnl0@NONE     DOWN
eth0@if15        UP             198.19.249.109/24 metric 1024 fd07:b51a:cc66:0:439:fcff:fe3f:27d6/64 fe80::439:fcff:fe3f:27d6/64
docker0          DOWN           172.17.0.1/16 fe80::acc7:7cff:fe73:5421/64
br-140e1fbca70a  UP             172.18.0.1/16 fe80::34c3:10ff:fe55:2464/64
vethbf1bfcc@if5  UP             fe80::38fd:c6ff:fe37:f54/64
veth7e8fb76@if5  UP             fe80::689e:8bff:fe81:d8c3/64

并ip route显示：

default via 198.19.249.1 dev eth0 proto dhcp src 198.19.249.109 metric 1024
0.250.250.200 via 198.19.249.1 dev eth0 proto dhcp src 198.19.249.109 metric 1024
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
172.18.0.0/16 dev br-140e1fbca70a proto kernel scope link src 172.18.0.1
198.19.249.0/24 dev eth0 proto kernel scope link src 198.19.249.109 metric 1024
198.19.249.1 dev eth0 proto dhcp scope link src 198.19.249.109 metric 1024

并ip neigh显示：

198.19.249.1 dev eth0 lladdr da:9b:d0:54:e0:02 STALE
172.18.0.3 dev br-140e1fbca70a lladdr fe:50:d0:de:5a:ce STALE
fe80::d84c:3aff:fef1:e382 dev eth0 lladdr da:9b:d0:54:e0:02 router STALE

此外，docker network inspect ..._..._default表示网络有网关172.18.0.1，并有两个容器与其连接，包括172.18.0.3。

iptables仅包含标准Docker 规则。

问题：

我运行ip route del 172.18.0.0/16并从路由表中删除了该条目。

我现在怎么无法访问docker容器了？

该172.18.0.3容器在我的计算机上本地运行，因此我希望能够访问它，只要我以iptable某种方式调整规则即可。难道这样不对吗？

barmanthewise

Asked: 2025-01-30 12:10:13 +0800 CST

Wireguard 容器不允许对 Sidecar 容器进行健康检查

6

我需要通过 AWS 网络负载均衡器在 Kubernetes 中公开 wireguard 服务。

除非健康检查通过，否则负载均衡器不会将流量路由到我的 wireguard pod。由于 AWS 负载均衡器不支持 UDP 健康检查，而 wireguard 在 UDP 上运行，因此我将一个简单的 TCP 服务连接到 wireguard pod，但无法访问，因此健康检查失败。

这是相关的 yaml 部署规范片段。

    spec:
      containers:
        - name: "wireguard"
          image: "linuxserver/wireguard:latest"
          ports:
            - containerPort: 51820
              protocol: UDP
          securityContext:
            privileged: true
            capabilities:
              add:
                - NET_ADMIN
        - name: healthcheck
          image: istio/tcp-echo-server:latest
          imagePullPolicy: IfNotPresent
          args: [ "9000", "hello" ]
          ports:
          - containerPort: 9000

如果我省略 wireguard 容器，或者注释掉 NET_ADMIN 部分，从而确保没有网络配置被更改，我就可以成功访问 heathcheck pod，例如运行：

kubectl run -i --rm --restart=Never dummy --image=busybox -- sh -c "echo world | nc wireguard-service.wg-test 9000"
hello world

在 wireguard 的容器日志中，我可以看到这些命令正在执行。我怀疑节点的路由配置中发生了一些变化，导致端口 9000 变得无法访问。

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.11.0.1/16 dev wg0
[#] ip link set mtu 1450 up dev wg0
[#] wg set wg0 fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] iptables-restore -n
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
[#] sysctl -w -q net.ipv4.ip_forward=1

我尝试添加，iptables -A INPUT -p tcp --dport 9000 -j ACCEPT但iptables -A FORWARD -p tcp --dport 9000 -j ACCEPT无济于事。我这里遗漏了什么？

jurijus01

Asked: 2025-01-06 06:16:36 +0800 CST

尽管允许 ipv6，ipTables 仍阻止 ipv4 端口 25 流量。可以修复吗？

6

对端口 25 上的有限 IPv4 连接进行故障排除。

有 ipTables 规则：

  Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  185.121.228.0/24     anywhere            
ACCEPT     all  --  127.0.0.0/24         anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp

一旦默认 INPUT 策略为 ACCEPT，

root@mail:/home/ubuntu# echo “HELO” | nc -4 smtp.google.com 25
220 mx.google.com ESMTP ffacd0b85a97d-38a1c8bb5f7si23003263f8f.375 - gsmtp
502-5.5.1 Unrecognized command. For more information, go to
502 5.5.1  https://support.google.com/a/answer/3221692 ffacd0b85a97d-38a1c8bb5f7si23003263f8f.375 - gsmtp

一旦默认 INPUT 策略为 DROP，相同的命令将无限期挂起。

现在最有趣的部分是 INPUT 策略的改变对

root@mail:/home/ubuntu# echo “HELO” | nc -6 smtp.google.com 25

无论如何，它都会得到 Google 的回应。

需要让邮件服务器将邮件发送到所有其他邮件服务器，而不仅仅是兼容 ipv6 的邮件服务器。

如果有人能解释一下发生了什么，那就太好了！

更新：ip-save 打印输出为：

:INPUT DROP [41791:1739301]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6390374:3802889072]
-A INPUT -i ens3 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -s 127.0.0.0/24 -i lo -j ACCEPT
-A INPUT -s 185.121.228.0/24 -i ens3 -j ACCEPT
COMMIT

jurijus01

Asked: 2024-12-30 20:30:36 +0800 CST

iRedMail 和 IpTables - 邮件未送达且无错误。如何解决？

5

您好，祝您新年除夕快乐！

尝试防火墙 iRedMail 安装。需要仅保持对传入连接必要的端口开放。当前规则如下：

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submissions
ACCEPT     all  --  localhost            anywhere  
ACCEPT     all  --  185.121.228.0/24     anywhere

最后一条规则是保持自己的 SSH 连接处于活动状态。

目前没有邮件收发，没有错误，也没有退回的电子邮件。怀疑这可能与用于 SMTP 的 SSL 证书无法解析主机名有关，但我已为其启用了端口 53“域”，但这没有帮助。

卡在这里。一旦默认策略从 DROP 更改为 ACCEPT，它就会变得轻而易举。

非常感谢任何关于如何正确防火墙 iRedMail 服务器的想法！

编辑：为此启用了 SMTP（端口 25），但无论如何它都没有被使用。没有效果

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submissions
ACCEPT     all  --  localhost            anywhere            
ACCEPT     all  --  185.121.228.0/24     anywhere

jurijus01

Asked: 2024-12-23 19:18:13 +0800 CST

iptables 配置保存在哪里？

5

iptables 配置保存在哪里？研究无果：

/etc/iptables - no such file or directory
/etc/sysconfig - no such file or directory
/etc/init.d/iptables - no such file or directory
/etc/network/if-up.d/ contains ethtool only
/etc/network/if-pre-up.d/ contains ethtool only

还有其他地方吗？运行 Ubuntu 24.04.1 LTS

非常感谢您的想法。

iopq

Asked: 2024-12-21 02:26:18 +0800 CST

如何通过 tproxy 发送所有 TCP 和 UDP 流量而不产生循环？

3

我在使用连接的同一台 Linux 机器上运行代理客户端。在配置中，我可以告诉它使用 tproxy 到端口 2500。代理在端口 443 上运行，使用 TLS（尽管这部分由代理接管管理）

因此我需要使用 iptables 或 nftables 将所有数据包路由到代理。但我也需要标记它们，以免造成循环。

我最初的尝试没有成功，好像我的 UDP 数据包没有通过（我位于 NAT 后面，但我不知道这是不是问题，因为我无论如何都在使用代理）。我想知道它如何更好地工作，以便我可以自己调试它。

这是我的尝试：

ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

#Setup a chain DIVERT to mark packets
iptables -t mangle -N DIVERT
iptables -t mangle -A DIVERT -j MARK --set-mark 1
iptables -t mangle -A DIVERT -j ACCEPT

#Use DIVERT to prevent existing connections going through TPROXY twice:
iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
iptables -t mangle -A PREROUTING -p udp -m socket -j DIVERT

#Mark all other (new) packets and use TPROXY to pass into xray
iptables -t mangle -A PREROUTING -p tcp -j TPROXY --tproxy-mark 0x1/0x1 --on-port 2500
iptables -t mangle -A PREROUTING -p udp -j TPROXY --tproxy-mark 0x1/0x1 --on-port 2500

#disable rp_filter and enable ip_forward
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.default.rp_filter=0
sysctl -w  net.ipv4.conf.all.rp_filter=0
sysctl -w net.ipv4.conf.wlp38s0.rp_filter=0

数据包只是按照我的规则传递，就像它们不存在一样

user141713

Asked: 2024-11-25 05:05:03 +0800 CST

当数据包被转发但未被服务器接收时，如何调试 iptables nat 连接？

5

我想要云中的虚拟机 ( VM1) 充当服务器 ( VM2) 的 TCP 代理，这样的 IP 地址VM2就不会暴露给客户端。客户端应连接到VM1端口上的公共 IP 地址9735，并且所有流量都应转发到VM2同一端口。回复应反过来进行。

VM1和VM2通过 wireguard 连接。两者都有两个接口：分别为 wireguard 接口 ( wg0) 和 internet 接口 ( ens5) eth0。VM1上的 IP 地址wg0为10.200.200.1，而VM2为10.200.200.2。wireguard 连接工作正常。我可以telnet 10.200.200.2:9735从成功VM1。

当我尝试在的公共 IP 上进行 telnet 时出现了问题VM1。

我VM1通过这种方式配置了iptables。

# Enable IP forwarding
# https://serverfault.com/questions/240532/iptables-dnat-not-working
echo 1 > /proc/sys/net/ipv4/ip_forward

# Reset and allow everything
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X
iptables -t security -F
iptables -t security -X

export WAN=ens5
export LAN=wg0

# Filter rules, default accept, log some
iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp --dport 9735 -j LOG --log-level info --log-prefix "fiter_in"

iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -p tcp --dport 9735 -j LOG --log-level info --log-prefix "fiter_out"

iptables -P FORWARD ACCEPT
iptables -A FORWARD -p tcp --dport 9735 -j LOG --log-level info --log-prefix "filter_forward"

iptables -t nat -A PREROUTING -p tcp -i $LAN -j LOG --log-level info --log-prefix "prerouting_fr_wg0"
iptables -t nat -A PREROUTING -p tcp -i $WAN --dport 9735 -j LOG --log-level info --log-prefix "prerouting_9735"
iptables -t nat -A PREROUTING -p tcp -i $WAN --dport 9735 -j DNAT --to-destination 10.200.200.2:9735

iptables -t nat -A POSTROUTING -o $LAN -j LOG --log-level info --log-prefix "postrouting_to_wg0"
iptables -t nat -A POSTROUTING -o $WAN -j LOG --log-level info --log-prefix "postrouting_to_ens5"
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

在上VM1，iptables 转发工作正常，我可以看到使用转发的数据包tcpdump。

root@myserver:~# tcpdump -n -A tcp -i wg0
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
19:53:56.838847 IP [client public ip address].16190 > 10.200.200.2.9735: Flags [S], seq 2996679219, win 64240, options [mss 1420,sackOK,TS val 1658363264 ecr 0,nop,wscale 7], length 0
E..<[email protected].......
...?>&....3.........r.........
b...........

在上VM2，输出什么都没有。就像没有收到任何东西tcpdump一样。VM2

关于如何进一步调试此问题有什么建议吗？

tomsk

Asked: 2024-11-10 04:26:00 +0800 CST

防火墙没有阻止，即使应该阻止

5

我使用 AlmaLinux 9，我了解到有新的后端服务 nftables 可以通过 iptables-nft 命令进行管理，所以我设置了一些规则，我的规则集如下所示：

# Warning: table ip nat is managed by iptables-nft, do not touch!
table ip nat {
    chain DOCKER {
        iifname "docker0" counter packets 0 bytes 0 return
        iifname != "docker0" tcp dport 8080 counter packets 3 bytes 180 dnat to 172.17.0.2:80
        iifname != "docker0" tcp dport 9001 counter packets 4 bytes 240 dnat to 172.17.0.3:9001
    }

    chain POSTROUTING {
        type nat hook postrouting priority srcnat; policy accept;
        ip saddr 172.17.0.0/16 oifname != "docker0" counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.0/16 oifname != "docker0" counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.0/16 oifname != "docker0" counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.2 ip daddr 172.17.0.2 tcp dport 9001 counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.2 ip daddr 172.17.0.2 tcp dport 9001 counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.2 ip daddr 172.17.0.2 tcp dport 80 counter packets 0 bytes 0 masquerade
        ip saddr 172.17.0.3 ip daddr 172.17.0.3 tcp dport 9001 counter packets 0 bytes 0 masquerade
    }

    chain PREROUTING {
        type nat hook prerouting priority dstnat; policy accept;
        fib daddr type local counter packets 236 bytes 12653 jump DOCKER
        fib daddr type local counter packets 39 bytes 1732 jump DOCKER
        fib daddr type local counter packets 39 bytes 1732 jump DOCKER
        fib daddr type local counter packets 23 bytes 1056 jump DOCKER
        fib daddr type local counter packets 23 bytes 1056 jump DOCKER
    }

    chain OUTPUT {
        type nat hook output priority dstnat; policy accept;
        ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
        ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
        ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
    }
}
# Warning: table ip filter is managed by iptables-nft, do not touch!
table ip filter {
    chain FORWARD {
        type filter hook forward priority filter; policy drop;
        counter packets 178 bytes 55546 jump DOCKER-USER
        counter packets 178 bytes 55546 jump DOCKER-ISOLATION-STAGE-1
        oifname "docker0" ct state related,established counter packets 84 bytes 11338 accept
        oifname "docker0" counter packets 7 bytes 420 jump DOCKER
        iifname "docker0" oifname != "docker0" counter packets 87 bytes 43788 accept
        iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
    }

    chain DOCKER-USER {
        counter packets 178 bytes 55546 return
    }

    chain INPUT {
        type filter hook input priority filter; policy drop;
        ct state established,related counter packets 195 bytes 18089 accept
        tcp dport 22 counter packets 2 bytes 120 accept
        tcp dport 443 counter packets 0 bytes 0 accept
    }

    chain DOCKER {
        ip daddr 172.17.0.2 iifname != "docker0" oifname "docker0" tcp dport 80 counter packets 3 bytes 180 accept
        ip daddr 172.17.0.3 iifname != "docker0" oifname "docker0" tcp dport 9001 counter packets 4 bytes 240 accept
    }

    chain DOCKER-ISOLATION-STAGE-1 {
        iifname "docker0" oifname != "docker0" counter packets 87 bytes 43788 jump DOCKER-ISOLATION-STAGE-2
        counter packets 178 bytes 55546 return
    }

    chain DOCKER-ISOLATION-STAGE-2 {
        oifname "docker0" counter packets 0 bytes 0 drop
        counter packets 87 bytes 43788 return
    }
}

该规则集已保存，/etc/sysconfig/nftables.conf因此每次服务器重新启动时都会加载它，正如您在链 INPUT 中所看到的，除端口 22 和 443 之外的所有内容都应被删除，因此我尝试在端口 8080 上运行测试 nginx 服务器，并且我仍然可以访问它，我的防火墙没有阻止任何东西..为什么？即使 INPUT 策略设置为删除。

编辑2：

所以我读到docker使用DOCKER-USER链来制定用户定义的规则，所以我这样做了：

table ip filter {
    chain FORWARD {
        type filter hook forward priority filter; policy drop;
        counter packets 0 bytes 0 jump DOCKER-USER
        counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1
        oifname "docker0" ct state related,established counter packets 0 bytes 0 accept
        oifname "docker0" counter packets 0 bytes 0 jump DOCKER
        iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept
        iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
        oifname "docker0" ct state established,related counter packets 184 bytes 27570 accept
        oifname "docker0" ct state established,related counter packets 85 bytes 28483 accept
    }

    chain DOCKER-USER {
        counter packets 534 bytes 178277 return
        tcp dport 8080 drop
        tcp dport 9001 drop
    }

    chain INPUT {
        type filter hook input priority filter; policy drop;
        ct state established,related counter packets 584 bytes 54071 accept
        tcp dport 22 counter packets 8 bytes 460 accept
    }

    chain DOCKER {
        ip daddr 172.17.0.2 iifname != "docker0" oifname "docker0" tcp dport 80 counter packets 0 bytes 0 accept
        ip daddr 172.17.0.3 iifname != "docker0" oifname "docker0" tcp dport 9001 counter packets 0 bytes 0 accept
    }

    chain DOCKER-ISOLATION-STAGE-1 {
        iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2
        counter packets 0 bytes 0 return
    }

    chain DOCKER-ISOLATION-STAGE-2 {
        oifname "docker0" counter packets 0 bytes 0 drop
        counter packets 0 bytes 0 return
    }
}

但仍然不起作用，我可以访问端口 8080 和 9001，甚至尝试重新启动服务器。

编辑3：

将我的链改为：

chain DOCKER-USER {
    tcp dport 8080 drop
    tcp dport 9001 drop
    return
}

重新启动服务器，端口 8080 仍然可以访问

Ivashka

Asked: 2024-10-03 18:17:03 +0800 CST

iptables nat 与 physdev 的问题

5

我正在尝试理解 physdev iptables 模块，但在使用 nat 表时遇到了问题，尤其是 POSTROUTING 链。因此，我的目标是使用 physdev 模块对桥接接口上的传出流量进行 SNAT。

这是我的迷你网络设置：PC1 - （enp6s0f0）BRIDGE（enp6s0f1） - PC2。PC1是 192.168.100.1/24，PC2 是 192.168.100.2/24。

我的桥梁设置是：

ifconfig enp6s0f0 down
ifconfig enp6s0f1 down
brctl addbr br0
brctl addif enp6s0f0 br0
brctl addif enp6s0f1 br0
ifconfig enp6s0f0 0.0.0.0 up
ifconfig enp6s0f1 0.0.0.0 up
ifconfig br0 169.254.100.1/32 up

该桥接设置工作正常，PC1 和 PC2 可以相互通信，但不能按预期与桥接器通信。

现在，例如，我想要以这样的方式设置 PC 和 BRIDGE 之间的通信，即 PC1 将 BRIDGE 视为 192.168.100.100，而 PC2 将 BRIDGE 视为 192.168.100.200。

所以我添加了路线：

route add -net 192.168.100.0/24 dev br0

现在，如果我从 BRIDGE ping 任何一台 PC，我就可以像预期的那样看到来自网桥的源 IP 为 169.254.100.1 的传出流量。

现在一切都与 iptables 有关。我的规则：

iptables -t nat -A POSTROUTING -s 169.254.100.1 -m physdev --physdev-out enp6s0f0 -j SNAT --to-source 192.168.100.100
iptables -t nat -A POSTROUTING -s 169.254.100.1 -m physdev --physdev-out enp6s0f1 -j SNAT --to-source 192.168.100.200

在此之后，我希望从网桥传出的所有流量都根据 physdev-out 进行 SNAT 到 192.168.100.100 或 192.168.100.200，但这并没有发生。为什么？我不知道。发生的事情是规则被忽略了。iptables -t nat -vnL 显示0 个数据包与规则匹配，tcpdump -i enp6s0f0 -p arp -n 显示所有 arp 请求都具有旧的 169.254.100.1 源 ip 地址。

还需要注意的是，我已经加载了br-netfilter模块，并且将bridge-nf-call-iptables设置为 1。

我使用的操作系统是 Ubuntu 20.04，但我也尝试了其他操作系统。我也在互联网上查找了信息，我知道还有其他几种方法可以实现我想要的行为，但我想弄清楚为什么这种特定方法不起作用。

我还查看了https://ebtables.netfilter.org/br_fw_ia/br_fw_ia.html，读完之后，我觉得一切都应该可以正常工作。请帮帮我

Podman、WireGuard 和 nftables

是否有可能在没有网桥的情况下与 Linux 上的 Docker 容器进行通信？

Wireguard 容器不允许对 Sidecar 容器进行健康检查

尽管允许 ipv6，ipTables 仍阻止 ipv4 端口 25 流量。可以修复吗？

iRedMail 和 IpTables - 邮件未送达且无错误。如何解决？

iptables 配置保存在哪里？

如何通过 tproxy 发送所有 TCP 和 UDP 流量而不产生循环？

当数据包被转发但未被服务器接收时，如何调试 iptables nat 连接？

防火墙没有阻止，即使应该阻止

iptables nat 与 physdev 的问题

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

问题[iptables](server)