在 Linux 笔记本电脑上,我想允许从 LAN 访问本地托管的 VM (kvm)。
我想对 VM 进行 DNAT。
网络
client <-- LAN 192.168.3.0/24 --> host <-- bridge 192.168.113.0/24 --> guest
主持人
- wlp3s0: 192.168.3.221/24
- br0: 192.168.113.1/24
net.ipv4.ip_forward = 1
- 桥:
# bridge -d link
16: vnet5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 100
hairpin off guard off root_block off fastleave off learning on flood on mcast_flood on bcast_flood on mcast_router 1 mcast_to_unicast off neigh_suppress off vlan_tunnel off isolated off locked off
- 路由:
default via 192.168.3.1 dev wlp3s0 proto dhcp src 192.168.3.221 metric 600
192.168.3.0/24 dev wlp3s0 proto kernel scope link src 192.168.3.221 metric 600
192.168.113.0/24 dev br0
- Netfilter 规则摘录:
table inet filter {
chain forward {
type filter hook forward priority 0; policy drop;
ct state established,related counter accept
ct state invalid counter drop
tcp dport 8080 counter log prefix "forward: " accept
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority dstnat
tcp dport 8080 counter log prefix "dnat: " dnat to 193.168.113.201:8080
}
chain postrouting {
type nat hook postrouting priority srcnat
iifname br0 oifname wlp3s0 counter masquerade
}
}
客人
- enp1s0: 192.168.113.201/24
- 路线:
default via 192.168.113.1 dev enp1s0 proto dhcp src 192.168.113.201 metric 100
192.168.113.0/24 dev enp1s0 proto kernel scope link src 192.168.113.201 metric 100
- 没有防火墙
- 服务监听 0.0.0.0:8080
客户
- 地址:192.168.3.2
测试正常
- 从主机到来宾 Ping (
ping -c 1 192.168.113.201
) - 从主机到客户服务的 curl (
curl -q http://192.168.113.201:8080
) - 访客访问互联网 (
curl -q https://serverfault.com
)
问题
来自 LAN ( ) 上另一个客户端的呼叫服务curl -q http://192.168.3.221:8080
未到达来宾。
主机 wlp3s0 接口上的 Tcpdump:
11:10:54.063354 IP 192.168.3.2.43278 > 192.168.3.221.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0
11:10:54.063388 IP 192.168.3.2.43278 > 193.168.113.201.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0
(当转发和过滤被触发时,我在系统日志中看到“forward”和“dnat”行。)
我在主机的 br0 接口上看不到数据包。
请注意 tcpdump 的第二行。目的地被改写了,但是在wlp3s0界面上!
我还使用有线以太网而不是 Wifi 进行了测试:完全相同的行为。
为什么数据包没有通过 br0 路由到网桥?
任何提示表示赞赏!
预路由规则中有错字。
dnat to 193.168.113.201:8080
而不是dnat to 192.168.113.201:8080
.