我刚刚注意到MASQUERADE iptables添加的规则lxc有! -d部分:
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE
我的猜测是,-s 10.0.3.0/24 -d 10.0.3.0/24只有在将数据从一个容器发送到另一个容器时才能观察到(ping, ssh,你的名字)。而省略! -d部分只会影响性能。到未知的程度。我对吗?
AskOverflow.Dev
此规则允许同一子网上的两个不同容器无需经过 NAT 即可相互通信
因此,一个 10.0.3.100 与 10.0.3.101 通信的容器将对另一个容器显示为 10.0.3.100 而不是主机地址。
这对于各种目的(例如活动记录、访问控制)都是有益的,因为目标容器可以识别源容器。它还允许这些容器不需要默认路由(它都是本地子网),因此从安全角度来看是有益的。
而且,当然,它消除了不必要的 NAT 开销!