问题[iptables](unix)

我有一个在 vanilla 设置上运行的 Docker 容器，它监听端口 9999：

docker run --rm -it -p 9999:9999 busybox nc -vvl -p 9999 0.0.0.0

我向 NAT 上的 POSTROUTING 表添加了一条 LOG 规则，以便捕获服务器数据包。但是，当我从外部机器连接到此容器时，系统日志中什么也看不到。

不过，当我登录 mangle 的 POSTROUTING 链的末尾时，我可以看到连接数据包。根据The Diagram(TM)，NAT-POSTROUTING 应该是下一个要传输的链。

这是 NAT 表：

# iptables -nL -tnat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DOCKER     0    --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DOCKER     0    --  0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
LOG        0    --  172.16.0.0/12        0.0.0.0/0            LOG flags 0 level 4 prefix "Packet:"
MASQUERADE  0    --  172.17.0.0/16        0.0.0.0/0           
MASQUERADE  6    --  172.17.0.2           172.17.0.2           tcp dpt:9999

Chain DOCKER (2 references)
target     prot opt source               destination         
RETURN     0    --  0.0.0.0/0            0.0.0.0/0           
DNAT       6    --  0.0.0.0/0            0.0.0.0/0            tcp dpt:9999 to:172.17.0.2:9999

观察后journalctl -f | grep Packet:没有发现任何异常。TRACE 指示 NAT 表被全部跳过，即服务器传出的数据包的所有链都被跳过。

设置如下：

net.bridge.bridge-nf-call-iptables=1
net.bridge.bridge-nf-call-ip6tables=1

为什么会出现这种情况？或者更一般地说，为什么有些数据包会完全跳过 NAT 表？

我有一台 IP 为 192.168.3.1 的 ubuntu 机器，另一台机器以固定 IP 192.168.3.2 连接到它，这台机器还通过 USB0 连接到路由器，该路由器已将 IP 172.30.220.17 共享给该机器

我想要做的是将本机通过 192.168.3.1 IP 收到的任何 TCP 或 UDP 数据包从路由器转发到 172.30.220.19，反之亦然

例如，如果位于 192.168.3.2 的计算机在端口 33000 上向主计算机发送“Hello”TCP 数据包，则它应该将该数据包发送到 172.30.220.19:33000

在阅读了 iptables 文档和之前的几个问题后，我尝试了下面的 NAT 命令，但它不起作用，我不知道为什么。如果有人能指导我我做错了什么，我会很高兴。谢谢你的时间

sudo iptables -t nat -A PREROUTING -p tcp -j DNAT --to-destination 172.30.220.19
sudo iptables -t nat -A POSTROUTING -p tcp -d 172.30.220.19  -j SNAT --to-source 192.168.3.2

我不清楚对 INVALID 与 ESTABLISHED,RELATED 的检查对于这两种情况是否同样快（并且如果状态完全正交），我是否必须在接受 ESTABLISHED 之前删除 INVALID 或者我可以安全地接受 ESTABLISHED 然后删除 INVALID 吗？

我已经设置了 iptables 来记录除一组有限用户之外的所有用户的传出流量，并且我正在尝试了解由此产生的日志消息。查看 /var/log/syslog，我看到从 127.0.0.1 到 127.0.0.53 的请求（DNS 查找？）以及相当多到 224.0.0.22 的请求，如下所示：

IN= OUT=wlp2s0 SRC=10.100.102.200 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 MARK=0x94

这是一个多播地址...有什么想法会导致这种情况吗？

最后，我有几个看起来像这样的，它们似乎是发往世界各地的传出 ICMP 请求：

IN= OUT=wlp2s0 SRC=10.100.102.200 DST=151.80.9.69 LEN=138 TOS=0x08 PREC=0xC0 TTL=64 ID=26846 PROTO=ICMP TYPE=3 CODE=3 [SRC=151.80.9.69 DST=10.100.102.200 LEN=110 TOS=0x08 PREC=0x40 TTL=51 ID=48812 DF PROTO=UDP SPT=27209 DPT=8083 LEN=90 ]

但是，真正让我困惑的是括号（）中的部分SRC=151.80.9.69 PROTO=UDP SPT=27209 DPT=8083。是否意味着 ICMP 数据包是对端口 8083 的 UDP 请求的响应？我是否应该担心这可能是入侵（或企图入侵）？如果是这样，我是否有任何理由不应该阻止所有传入的 UDP 流量？（我只有网络服务器监听端口 80 和 443，没有其他端口打开——我已经检查并仔细检查了这一点。）

感谢您帮助理解我在这里看到的内容......

我的服务器上有一个不寻常的设置。我们有三个传出以太网端口，全部连接到一个桥接接口，我们将其分为两个 VLAN：

ip link add veth type bridge
ip link set veth address 01:23:45:67:89:0A
ip link set dev eth1 master veth
ip link set dev eth2 master veth
ip link set dev eth3 master veth
[...]
ip link add veth name veth.10 type vlan id 10
ip link add veth name veth.20 type vlan id 20
ip link add veth.20-local link veth.20 type macvlan mode bridge
[...]
docker network create --driver=macvlan --subnet=192.168.XXX.0/24 --opt com.docker.network.driver.mpu=1500 --gateway 192.168.XXX.1 --opt parent=veth.20-local dockerbr20

我的服务器内有一个连接到该地址的 docker 映像veth.20，该映像只允许通过veth.20. 网络的其余部分中存在路由和转发规则，允许 docker 映像与该 VLAN 之外的一些选定目标进行通信。

我想添加一条iptables规则，涵盖将我的服务器排除在接口之外的传出数据包veth.20，无论其目的地如何。（某些数据包必须保留在veth.20接口内；某些数据包可以路由到其他 VLAN。）

已尝试以下规则，并且无论出于何种原因，似乎都没有标记veth.20从 docker 容器留下的数据包：

iptables -A POSTROUTING -t mangle -o veth.20 -j MARK --set-mark 3
iptables -A PREROUTING -t mangle -i veth.20 -j MARK --set-mark 3
iptables -A POSTROUTING -t nat -o veth.20 -j MARK --set-mark 3
iptables -A PREROUTING -t nat -i veth.20 -j MARK --set-mark 3
iptables -A OUTPUT -t mangle -o veth.20 -j MARK --set-mark 3
iptables -A INPUT -t mangle -i veth.20 -j MARK --set-mark 3
iptables -A FORWARD -i veth.20 -j MARK --set-mark 3
iptables -A FORWARD -o veth.20 -j MARK --set-mark 3

也就是说，iptables -L -n -v -t mangle不iptables -L -n -v -t nat显示任何这些规则应用于从veth.20另一个 VLAN 上的主机发出的传出数据包。

我已经通过 确认ifconfig来自 docker 镜像的所有数据包都将离开服务器veth.20；这

iptables -A OUTPUT -t mangle -o veth.20 -j MARK --set-mark 3

当我从服务器或 Docker 映像向 VLAN 20 上的外部计算机发送数据包时，适用该规则；但是当我veth.20通过 docker 的接口发送路由到外部 VLAN 10 或 VLAN 30 地址（未显示）的数据包时，不会应用任何标记。

我觉得这应该是一个简单的问题，但我尝试过的任何方法都无法根据数据包用于离开盒子的接口进行标记。我缺少什么？

我将使用 iptables 过滤入站流量。

我有 2 个目标。

a) Allow HTTPS inbound at port 443.

b) Redirect port 443 to process listening port on 9443.

不确定这两条规则的处理。

我是否需要将输入规则设置为接受端口 443 或 9443 的入站 HTTPS？7

取决于我认为重定向是在之前还是之后完成的。

我正在尝试在 Windows 10 计算机上的 WSL-2 中运行的 Ubuntu 22.04.3 LTS 中运行 docker。

我已按照此处的说明进行操作。但它仍然不起作用，当我运行时出现以下错误sudo dockerd：

failed to register "bridge" driver: failed to create NAT chain DOCKER:
       iptables failed: iptables -t nat -N DOCKER:
       iptables v1.8.7 (legacy): can't initialize iptables table `nat':
          Table does not exist (do you need to insmod?)
          Perhaps iptables or your kernel needs to be upgraded.
  (exit status 3)

当我这样做时，modprobe ip_tables我得到：

modprobe: FATAL: Module ip_tables not found in directory /lib/modules/4.4.0-22621-Microsoft

我有一个简单的 Linux 路由器，具有多个 NIC 并启用了 IPv4 转发。

路由器有两个静态 WAN IP 地址，分配给一个接口 ( eth0, eth0:0)。（在下面的文本中，我将混淆实际的公共 IP 地址（257 作为一个八位字节）。）

可以从外部 Internet 对两个外部 WAN IP 地址执行 ping 操作。

接口：

• eth0：互联网连接，134.257.10。10月24日，网关134.257.10.1
• eth0:0：该接口上的第二个 IP 地址：134.257.10。20 /24
• eth1：局域网1、192.168.1.1/24
• eth2：局域网2、192.168.2.1/24
• eth3：局域网3、192.168.3.1/24

我的设置有效，所有 LAN 客户端 (LAN 1-3) 都可以访问 Internet，并且在外部显示为 134.257.10。10 . 此外，我有两个传入端口转发。

我的 iptables NAT 表如下所示：

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Port forwarding:
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80
-A PREROUTING -i eth0:0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.3.33:25
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

如何让 LAN3 客户端 ( eth3) 显示为 134.257.10。20在 Internet ( eth0:0) 上用于传出连接，而不是 134.257.10。10 ( eth0)?

我运行一个服务器，其中一个 Web 服务器作为无根 podman 容器运行。这会暴露端口 10080 和 10443，因为作为无根容器，不允许暴露端口 80 和 443。

为了可以从外部访问我的网站，我使用 ufw 作为防火墙并在那里设置了端口转发。为此，我将以下行添加到文件的开头/etc/ufw/before.rules：

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 10080
-A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 10443
COMMIT

到目前为止一切正常。

我现在想运行另一个运行 Wireguard 服务器的容器。这会在其日志中输出以下内容，并且似乎将其设置为防火墙中的规则：

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.13.13.1 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] ip -4 route add 10.13.13.2/32 dev wg0
[#] iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth+ -j MASQUERADE

如果我在没有激活 ufw 防火墙的情况下运行 Wireguard 容器 - 特别是没有定义的端口转发 - 一切都会正常。我可以与客户端连接，其流量通过隧道路由并到达互联网。

另一方面，如果我激活 ufw 防火墙（包括定义的端口转发），然后使用客户端连接到 Wireguard VPN，则所有页面视图似乎都会到达我的服务器本身 - 至少我会收到如下错误消息：

This server could not prove that it is www.google.de. Its security certificate comes from <myServer>.de

如何配置 ufw 防火墙以便

1. 来自外部到端口 80 或 443 的请求将转发到端口 10080 或 10443，从而到达我的 Web 服务器
2. 来自我的 VPN 客户端的请求通过 WireGuard 隧道到达 Internet，而不是我自己的服务器？

（在另一台服务器上，我在 docker 下运行 WebServer 和 WireGuard - 一切正常，因为 Docker WebServer 直接公开端口 80 和 443，因此我不需要任何端口转发。）

非常感谢您的帮助。

我试图清楚地了解br_netfilterLinux 内核模块到底做了什么（我知道它与网络有关）。

我在这里提出的简单问题如下：

举例说明启用此模块后我可以执行哪些操作，而禁用此模块时我不能执行此操作？我原以为这与 有关iptables，但是当禁用/启用该模块时，我总是能够运行相同的iptables命令。

注意：由于我不确定禁用内核模块不会杀死我的计算机，因此我创建了一个测试 AWS EC2 实例来测试这一点。

编辑：为了澄清，我想看到的是一组简单的步骤，又名运行 X、Y、Z 命令，启用时，系统按预期运行，禁用时，则不会。