我试图了解 systemd-nspawn 如何管理容器的互联网访问和端口转发。
我使用 搭建了一个 nspawn 容器,--network-veth并使用 进行了端口转发--port=80。主机和容器都运行 systemd-networkd。一切运行正常:容器可以访问互联网,并且 80 端口的传入流量会被转发到容器。
我想了解并检查 systemd 是如何管理这个问题的。我(天真地?)以为能在 iptables 中找到相关的规则,但运行后iptables -t ... -S发现主机和容器中的所有表都空了。我还运行了相同的命令nsenter来进入 veth 的网络命名空间,但仍然没有看到任何规则。
那么,systemd 不使用 Netfilter 进行 NAT/伪装吗?如果没有,它使用什么?
我在 dmesg 日志¹中看到大量以下两行内容:
[602956.308844] [iptables] (10): IN=eno1 OUT=eno2 MAC=xx:yy:..:zz SRC=10.174.26.245 DST=192.168.22.59 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=53 DPT=47150 WINDOW=28960 RES=0x00 ACK SYN URGP=0
[602956.652575] [iptables] (10): IN=eno1 OUT=eno2 MAC=xx:yy:..:zz SRC=10.172.0.22 DST=192.168.22.59 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=53 DPT=44204 WINDOW=28960 RES=0x00 ACK SYN URGP=0
我的防火墙阻止了这些,因为它无法识别 10.172.0.22 和 10.174.26.245 IP 地址。
实际上,查看 eno1 和 eno2 的 IP 地址列表,这两个 IP 地址并不包含在内。我使用两个 10.xxx 的 IP 地址,但不包括上面列出的两个(因此防火墙屏蔽了这两个 IP 地址)。
我的网络看起来是这样的:
+----------+ +--------+ +--------+ +--------+
| Internet |<--->| Router |<--->| Server |<--->| Laptop |
+----------+ +--------+ +--------+ +--------+
服务器和笔记本电脑都安装了防火墙。笔记本电脑的IP地址是192.168.22.59。它没有收到任何UDP TCP数据包。
eno1 和 eno2 位于服务器上。eno1 连接到路由器,路由器再连接到互联网。路由器连接使用本地网络地址(IPv4 和 IPv6)。eno2 是我的本地网络(LAN)。服务器设置为转发笔记本电脑和互联网之间的流量。
笔记本电脑使用了VPN,我怀疑它可能来自VPN,但笔记本电脑本身也装有防火墙,因此也会忽略此类流量。我想知道这些数据包来自哪里?是本地系统,还是来自黑客?或者VPN可能是罪魁祸首?无论如何,我不明白UDP TCP数据包怎么会使用网络接口上不存在的IP地址;如果是本地的,我也不明白它怎么会从外部传入。假设是本地进程发送了这些数据包,有什么办法可以找出它吗?
附注:我安装了 libvirt,但我尝试停止正在运行的一个 VPN,结果没有任何效果。而且,它创建的两个网桥不使用 10.17[24].xx 这两个 IP 地址。另外,我实在想不出 VPN 会把UDP TCP 数据包发送到错误的机器的原因。
于是,我打开笔记本电脑,重新连接了 VPN。之后,上面两行代码就不再出现了。
这让我看到了另一行:
[608974.298853] [iptables] (192): IN=eno1np0 OUT=eno2np1 MAC=xx:yy:...:zz SRC=192.168.19.2 DST=192.168.22.189 LEN=151 TOS=0x00 PREC=0x00 TTL=63 ID=8281 DF PROTO=UDP SPT=53 DPT=47512 LEN=131
这个是UDP协议,但关键在于,就像笔记本电脑一样,它需要来自路由器(也就是互联网)的本地IP地址的数据。设备189是我的惠普打印机,所以它可能也有一个类似VPN的系统,并且偶尔会以这种方式导致DNS请求失败。
我实际上可以在路由表中看到这两个 IP,您可以这样做:
$ ip route
这意味着我的图表会更像这样:
+----------+ +-----+ +--------+ +--------+ +--------+
| Internet |<--->| VPN |<--->| Router |<--->| Server |<--->| Laptop |
+----------+ +-----+ +--------+ +--------+ +--------+
当然,正如telcoM所说,路由器和VPN之间也存在ISP,但这不是罪魁祸首。我现在直接丢弃了这些数据包,而没有先记录它们:
-A bad_tcp_packets -i eno1 -s 10.172.0.0/16 -j DROP
-A bad_tcp_packets -i eno1 -s 10.174.0.0/16 -j DROP
需要注意的是:这意味着使用 VPN 可能会打开另一端的一组本地IP 地址。因此,您必须注意这一点,因为这可能会影响您的 LAN 设置。
¹我设置了防火墙来记录此类访问,以确保能够发现此类问题。目前,我并非试图回避日志,而是试图理解它。
NCP(nextcloudpi)服务器位于 myfqdn.duckdns.org
Safari 返回:
Chrome 返回:
私人 Safari 浏览器返回预期的 NCP 网页。
我寻求一个故障排除程序来诊断问题:我想知道是否存在证书问题。
我已经看过该网站上的其他答案,阅读了一篇文章并观看了有关该主题的视频,但我仍然无法将我的网络命名空间连接到外界。
我创建了一个名为“foo”的命名空间和一对veth接口,并将其中一个移入命名空间。
ip netns add foo
ip link add veth-foo type veth peer name veth-out
ip link set dev veth-foo netns foo
我为每个接口分配了一个 IP 地址并确保它们都已启动。
ip -n foo addr add 192.168.15.1 dev veth-foo
ip addr add 192.168.15.2 dev veth-out
ip -n foo link set dev veth-foo up
ip link set dev veth-out up
# Just in case, I made sure the loopback interfaces, too, are up, though they still show "UNKNOWN".
ip link set dev lo up
ip -n foo link set dev lo up
我在全局和“foo”命名空间的路由表中添加了条目,以便它们可以相互通信。
ip route add 192.168.15.1 via 192.168.15.2
ip -n foo route add default via 192.168.15.1
现在,我可以从全局命名空间到达“foo”,也可以从“foo”到达全局命名空间。
$ traceroute -n 192.168.15.1
traceroute to 192.168.15.1 (192.168.15.1), 30 hops max, 60 byte packets
1 192.168.15.1 0.257 ms 0.209 ms 0.194 ms
$ ip netns exec foo traceroute -n 192.168.15.2
traceroute to 192.168.15.2 (192.168.15.2), 30 hops max, 60 byte packets
1 192.168.15.2 0.046 ms 0.009 ms 0.008 ms
我还可以从“foo”内部访问连接虚拟机和外界的以太网接口。
# I ran this after I finished setting up IP forwarding, packet forwarding,
# and IP masquerading, so I'm not sure if it would work at this stage.
$ ip netns exec foo traceroute -n 10.0.2.15
traceroute to 10.0.2.15 (10.0.2.15), 30 hops max, 60 byte packets
1 10.0.2.15 0.065 ms 0.010 ms 0.008 ms
最后,我设置了 IP 转发、数据包转发和 IP 伪装。
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -o enp1s0 -i veth-out -j ACCEPT
iptables -A FORWARD -i enp1s0 -o veth-out -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.15.1/24 -o enp1s0 -j MASQUERADE
因此,我的系统如下所示:
$ sysctl -a | grep ip_forward
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_update_priority = 1
net.ipv4.ip_forward_use_pmtu = 0
$ iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 102 packets, 6816 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- any enp1s0 192.168.15.0/24 anywhere
$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 52:54:00:c3:cd:ac brd ff:ff:ff:ff:ff:ff
inet 10.0.2.15/24 brd 10.0.2.255 scope global dynamic noprefixroute enp1s0
valid_lft 83383sec preferred_lft 83383sec
inet6 fec0::11b8:4b3b:59ba:bae4/64 scope site dynamic noprefixroute
valid_lft 86026sec preferred_lft 14026sec
inet6 fe80::f3fd:90f2:d15f:d570/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: veth-out@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether da:a2:13:05:c4:f5 brd ff:ff:ff:ff:ff:ff link-netns foo
inet 192.168.15.2/32 scope global veth-out
valid_lft forever preferred_lft forever
inet6 fe80::d8a2:13ff:fe05:c4f5/64 scope link proto kernel_ll
valid_lft forever preferred_lft forever
$ ip -n foo addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host proto kernel_lo
valid_lft forever preferred_lft forever
4: veth-foo@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 7e:84:e6:16:92:8e brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 192.168.15.1/32 scope global veth-foo
valid_lft forever preferred_lft forever
inet6 fe80::7c84:e6ff:fe16:928e/64 scope link proto kernel_ll
valid_lft forever preferred_lft forever
$ ip route
default via 10.0.2.2 dev enp1s0 proto dhcp src 10.0.2.15 metric 100
10.0.2.0/24 dev enp1s0 proto kernel scope link src 10.0.2.15 metric 100
192.168.15.1 via 192.168.15.2 dev veth-out
$ ip -n foo route
default via 192.168.15.1 dev veth-foo
此刻,我期望能够与外界取得联系,但是却不行。
$ ip netns exec foo traceroute -n 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 192.168.15.1 3067.680 ms !H 3067.655 ms !H 3067.650 ms !H
$ sudo ip netns exec foo ping -c 3 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 192.168.15.1 icmp_seq=1 Destination Host Unreachable
From 192.168.15.1 icmp_seq=2 Destination Host Unreachable
From 192.168.15.1 icmp_seq=3 Destination Host Unreachable
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 2077ms
当然,虚拟机本身是连接到互联网的。
$ traceroute -n 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 10.0.2.2 0.719 ms 0.691 ms 0.676 ms
2 192.168.100.1 1.913 ms 2.593 ms 5.264 ms
3 31.146.255.37 18.493 ms 18.740 ms 19.041 ms
4 188.123.128.85 19.384 ms 19.658 ms 19.925 ms
5 188.123.128.96 20.275 ms 21.787 ms 188.123.128.84 21.773 ms
6 192.178.69.213 47.953 ms 53.145 ms 53.127 ms
7 192.178.69.212 53.116 ms 51.893 ms 188.123.128.33 51.293 ms
8 192.178.107.87 48.513 ms 192.178.107.135 43.582 ms 192.178.107.203 43.391 ms
9 72.14.237.137 43.195 ms 8.8.8.8 43.207 ms 43.200 ms
$ ping -c 3 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=255 time=40.2 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=255 time=37.9 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=255 time=38.0 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 37.859/38.698/40.205/1.067 ms
以下是 的输出tcpdump -n -i veth-out icmp。当我定位192.168.15.2&时10.0.2.15,它捕获了数据包,但当我定位 时,它什么也没得到8.8.8.8。
listening on veth-out, link-type EN10MB (Ethernet), snapshot length 262144 bytes
# This is the output when I ran `traceroute -n 192.168.15.2` (the address
# of "veth-out") in another terminal window (from inside "foo", of course).
12:44:19.172007 IP 192.168.15.2 > 192.168.15.1: ICMP 192.168.15.2 udp port traceroute unreachable, length 68
12:44:19.172029 IP 192.168.15.2 > 192.168.15.1: ICMP 192.168.15.2 udp port mtrace unreachable, length 68
12:44:19.172046 IP 192.168.15.2 > 192.168.15.1: ICMP 192.168.15.2 udp port 33436 unreachable, length 68
12:44:19.172063 IP 192.168.15.2 > 192.168.15.1: ICMP 192.168.15.2 udp port 33437 unreachable, length 68
12:44:19.172102 IP 192.168.15.2 > 192.168.15.1: ICMP 192.168.15.2 udp port 33438 unreachable, length 68
12:44:19.172119 IP 192.168.15.2 > 192.168.15.1: ICMP 192.168.15.2 udp port 33439 unreachable, length 68
# And this is when I ran the same command but addressed 10.0.2.15 (the
# ethernet interface to the outside world).
12:44:35.305689 IP 10.0.2.15 > 192.168.15.1: ICMP 10.0.2.15 udp port traceroute unreachable, length 68
12:44:35.305715 IP 10.0.2.15 > 192.168.15.1: ICMP 10.0.2.15 udp port mtrace unreachable, length 68
12:44:35.305733 IP 10.0.2.15 > 192.168.15.1: ICMP 10.0.2.15 udp port 33436 unreachable, length 68
12:44:35.305750 IP 10.0.2.15 > 192.168.15.1: ICMP 10.0.2.15 udp port 33437 unreachable, length 68
12:44:35.305766 IP 10.0.2.15 > 192.168.15.1: ICMP 10.0.2.15 udp port 33438 unreachable, length 68
12:44:35.305783 IP 10.0.2.15 > 192.168.15.1: ICMP 10.0.2.15 udp port 33439 unreachable, length 68
^C
12 packets captured
12 packets received by filter
0 packets dropped by kernel
无论目标是什么,都tcpdump -n -i lo icmp没有捕获任何数据包,即使“foo”成功到达“enp1s0”接口(地址为)。tcpdump -n -i enp1s0 icmptraceroute10.0.2.15
这是在 VM(GNOME Boxes)中完成的,在 Fedora 41、内核版本 6.11.4-301.fc41.x86_64 上。
我的主机也运行 Fedora 41,但内核版本是 6.13.5-200.fc41.x86_64。
编辑:为了防止这是 Fedora 的问题,我在 Mint VM 中对其进行了测试,结果发生了完全相同的事情。
我正在尝试学习如何使用iptables。我尝试通过 http 和 https 阻止所有流量。
我的输入和输出链是空的。
我最初做了以下事情:
sudo iptables -A OUTPUT -p tcp --dport 80 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 443 -j DROP
但是,我仍然可以访问新网页,例如https://systemd.io/或https://fr.euronews.com/,但不能访问https://unix.stackexchange.com/
因为这还不够,所以我决定为 OUTPUT 链添加类似的规则......
sudo iptables -A INPUT -p tcp --sport 80 -j DROP
sudo iptables -A INPUT -p tcp --sport 443 -j DROP
我仍然可以访问那些网站......我不确定这是如何实现的。
在 FORWARD 链中,我有 3 条规则(重复多次),
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DOCKER all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
我不确定它们是否影响输入链或输出链......
所以我有一个用 yocto 构建的嵌入式系统。我正在尝试启用 DHCPv6。但是当我尝试将接口联机时,ifup 说它找不到 DHCPv6 软件,即使安装了 dhcpcd。如果我手动运行 dhcpcd,它就可以工作。
root@1234:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.5.80
netmask 255.255.255.0
gateway 192.168.5.1
iface eth1 inet6 dhcp
root@1234:~# ip a show dev eth1
8: eth1: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue qlen 1000
link/ether ce:e6:83:59:f1:93 brd ff:ff:ff:ff:ff:ff
inet 169.254.23.45/16 brd 169.254.255.255 scope global noprefixroute eth1
valid_lft forever preferred_lft forever
inet6 fe80::468b:6249:e50b:a437/64 scope link
valid_lft forever preferred_lft forever
root@1234:~# which dhcpcd
/sbin/dhcpcd
root@1234:~# ifup eth1
No DHCPv6 client software found!
ifup: failed to bring up eth1
root@1234:~#
请注意,eth1 现在只是一个虚拟接口,因此我不会因为 eth0 而破坏我的 ssh 连接,而 eth0 才是我真正想要添加 DHCPv6 的地方。
我的笔记本电脑运行 NixOs 24.11,配备英特尔(R) Wi-Fi 6E AX211 160MHz 适配器,无法使用 wifi 连接到我的家庭网络(以太网正在工作)。它没有显示正确的 SSID(2.4G 或 5G),而是只显示fhmesh_路由器的十六进制 mac 地址。当我尝试在平铺窗口管理器中连接到它时,networkManager 显示错误802-11-wireless-security.key-mgmt: 'wpa-psk' is not a valid value for 'mesh' mode connections。当我尝试使用 KDE Plasma 连接到它时,它显示802-11-wireless.mode: connection does not match access point。我使用正确的 SSID 的名称和密码连接到隐藏网络,但 networkManager 找不到它。我尝试安装iwlwifi内核模块(日志)、软件包和iw,但这些都不能解决我的问题。我运行了,显示我的监管国家是。我尝试运行(我在加拿大)和(我的路由器的 WLAN 设置页面显示其国家为,我无法更改它)。两个选项似乎都不起作用。我试过切换到,但那也不起作用。pkgs.wireless-regdbhardware.firmwareiw reg getTH: DFS-UNSETsudo iw reg setCAUSUNITED STATESwpa-supplicant
fhmesh_。当我尝试连接到 时fhmesh_,wpa-psk会出现相同的错误。iw reg get在这台机器上也返回TH: DFS-UNSETnixos-unstable,但这个问题仍然存在
我正在尝试在新的 raspbian lite 操作系统上设置静态 IP。
我以前能够通过修改/etc/network/interfaces文件在较旧的 debian 系统上设置静态 IP 地址,但这个操作系统没有这样的文件。当我添加以下内容的文件时:
auto eth0
iface eth0 static
address 192.168.1.15/24
gateway 192.168.1.1
iface 已取消配置。它甚至不采用 dhcp 值。我遗漏了什么或者做错了什么?
我为 NetworkManager 定义了两个文件eth0-static和eth0-dhcp,我希望 NetworkManager 使用其中一个文件作为默认文件。文件选择取决于是否启用了 DHCP。我如何告诉 NetworkManager 使用其中一个文件而不是创建Wired connection 1?或者重命名现有文件是否更有意义?
因此,我有一个名为的 Docker 网络home,其中包含所有基于根的容器(或难以移植到 podman 的 Docker 容器)。
sudo docker network ls
NETWORK ID NAME DRIVER SCOPE
9d5788b45048 bridge bridge local
b1f4756feab4 home bridge local
5d7ee6579f19 host host local
8678a773e2f2 none null local
而且,对于 podman,我有一个非常相似的配置。
podman network ls
NETWORK ID NAME DRIVER
8b17ae3d5d67 home bridge
2f259bab93aa podman bridge
问题是什么?好吧,事实证明,我的容器名称解析在一个网络到另一个网络之间不起作用。例如,我nginx-proxy-manager在 podman 上运行,我想http://domain/freshrss通过指定和关联的端口号重定向到 freshrss 服务freshrss。这不起作用,这对我来说很有意义,因为 docker 网络和 podman 网络从根本上是彼此分离的。
所以我的问题很简单:有没有办法将这两个网络桥接在一起,将它们视为一个网络,而不会损害个性化网络配置的完整性?或者,有没有办法让我解决这个通信问题,而不必在转发名称和端口中重新指定域名?例如,我认为转发到127.0.0.1:<freshrss port>会起作用,因为它会转到主机,然后连接到适当的端口,但那不起作用。
docker/podman compose欢迎提供有针对性的答案,因为这就是我配置我的服务的方式。