我正在使用全新安装的 Ubuntu 服务器 24.04.1 LTS。我以 root 身份运行以下命令来设置网络并进行一些实验：

如果您已经看过这篇文章，那么它是相同的设置，但2.3.4.5分配了IP 地址my_veth2和路由表条目，1.2.3.0/24以确保可以从每个网络命名空间发送和接收数据。

# Terminal 1

apt install -y netcat-traditional tcpdump

ip netns add ns1
ip netns add ns2

ip link add my_veth1 type veth peer name my_veth2

ip link set my_veth1 up netns ns1
ip link set my_veth2 up netns ns2

ip -n ns1 address add 1.2.3.4 dev my_veth1
ip -n ns1 route add 2.3.4.0/24 dev my_veth1
ip -n ns2 address add 2.3.4.5 dev my_veth2
ip -n ns2 route add 1.2.3.0/24 dev my_veth2

ip netns exec ns2 nc -l -p 8080

然后我打开另外 2 个终端在每个网络命名空间中运行tcpdump：

# Terminal 2
ip netns exec ns1 tcpdump -i my_veth1

# Terminal 3
ip netns exec ns2 tcpdump -i my_veth2

然后我打开最后一个终端，将数据从 ns1 发送到 ns2 中的 netcat 服务器：

# Terminal 4
ip netns exec ns1 nc 2.3.4.5 8080 <<< 'Hello world from network namespace ns1'

结果：

• 正如预期的那样，从终端 4 发送的消息打印在终端 1 中。
• tcpdump 中均未显示任何数据包。为什么？

我正在使用全新安装的 Ubuntu 服务器 24.04.1 LTS。我以 root 身份运行以下命令来设置网络并进行一些实验：

apt install netcat-traditional

ip netns add ns1
ip netns add ns2

ip link add my_veth1 type veth peer name my_veth2

ip link set my_veth1 up netns ns1
ip link set my_veth2 up netns ns2

ip -n ns1 address add 1.2.3.4 dev my_veth1
ip -n ns1 route add 2.3.4.0/24 dev my_veth1

ip netns exec ns2 nc -u -l -p 8080

然后我从另一个终端运行它：

ip netns exec ns1 nc -u 2.3.4.5 8080 <<< 'Hello world from network namespace ns1'

UDP 是一种无连接协议。如果我的理解正确，这应该意味着来自网络命名空间 ns2 的 netcat UDP 服务器应该能够打印来自 ns1 的客户端发送的消息，无论服务器是否可以到达客户端，因此理论上我不必在 中配置路由ns2或在 中配置 ip 地址my_veth2。但是，除非同时配置了 ip 地址和路由表条目，否则第一个终端中不会打印任何消息。为什么？

• 我尝试添加 IP 地址2.3.4.5，my_veth2但没有作用。
• 我尝试创建一个新的路由表条目ns2来将所有流量重定向1.2.3.0/24到，my_veth2但这也不起作用。
• 2.3.4.5仅当将 IP 地址添加到my_veth2并在 ns2 中创建新的路由表条目以将所有流量从 重定向1.2.3.0/24到时，才会打印该消息my_veth2。这是为什么？

编辑：禁用 rp_filter 似乎不起作用：

ip netns exec ns1 dd of=/proc/sys/net/ipv4/conf/all/rp_filter <<< '0'
ip netns exec ns2 dd of=/proc/sys/net/ipv4/conf/all/rp_filter <<< '0'
ip netns exec ns1 dd of=/proc/sys/net/ipv4/conf/my_veth1/rp_filter <<< '0'
ip netns exec ns2 dd of=/proc/sys/net/ipv4/conf/my_veth2/rp_filter <<< '0'

编辑2：安装并运行 tcpdump 我了解到有一些发送的 ARP 请求没有得到响应：

$ ip netns exec ns1 tcpdump -l -i my_veth1
23:38:14.402259 ARP, Request who-has 2.3.4.5 tell 1.2.3.4, length 28
23:38:14.402259 ARP, Request who-has 2.3.4.5 tell 1.2.3.4, length 28
23:38:14.402259 ARP, Request who-has 2.3.4.5 tell 1.2.3.4, length 28
...

ns2 my_veth2 给出相同的输出

因此我尝试手动创建 ARP 表条目...

ip -n ns1 neighbour add 2.3.4.5 dev my_veth1 lladdr $(ip netns exec ns2 cat /sys/class/net/my_veth2/address)

现在显然 UDP 数据包正在被发送

$ ip netns exec ns1 tcpdump -l -i my_veth1
00:24:15.164245 IP 1.2.3.4.36170 > 2.3.4.5.8080: UDP, length 39

ns2 my_veth2 给出相同的输出

但是，第一个运行 UDP netcat 服务器的终端仍然没有输出任何内容。为什么？

编辑 3：完成上述所有操作后，我尝试为以下设备分配一个 IP 地址my_veth2：

ip -n ns2 address add 2.3.4.5 dev my_veth2

现在，当我发送 UDP 数据包时，在以监听模式运行 netcat 的终端中出现此错误：

no connection : Network is unreachable

为什么？我的意思是，当然网络无法连接，但这不应该阻止服务器接收和显示 UDP 数据包。事实上，只有在收到 UDP 数据包时才会显示该错误。所以即使它知道它无法应答，它也应该能够接收和显示消息，对吧？

我正在开发一个功能非常有限的客户端（基于 Yocto 项目的 Poky），我想将所有 http/https 请求重定向到同一网络上的另一台机器。我nftables在目标上进行了测试，并通过成功丢弃指向端口 80 的所有数据包验证了这一点。

sysctl net.ipv4.ip_forward显示1。

我尝试使用以下脚本/nft 命令列表：

nft flush ruleset

nft add table ip nat
nft add chain ip nat prerouting { type nat hook prerouting priority 0 \; }
nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }

nft add rule ip nat prerouting tcp dport 80 dnat to 10.0.0.2:8080
nft add rule ip nat prerouting tcp dport 443 dnat to 10.0.0.2:8080

nft add rule ip nat postrouting masquerade

nft list ruleset

为了测试设置，我在客户端上将域名设置test.test为 10.0.0.2（通过）。在我的第二台机器上，我让 Burp 监听端口 8080 上的所有接口，并在端口 80 上设置一个简单的 Web 服务器（ ）。/etc/hostspython3 -m http.server 80

然后我在客户端上运行curl http://test.test。我从我的 Burp 机器获取了目录列表，但没有通过 burp 进行重定向。

我还能尝试什么呢？强制所有传出到端口 80 或 443 的数据包通过我的 Burp。基本设置中可以忽略证书问题。

我需要确保来自特定 (Docker) 容器的出站流量通过我的 (WireGuard) VPN（在我的 VPS 上运行）进行隧道传输，以使用我的 VPS 外部 IP 退出到 Internet，但我没有成功。

这是我的环境：

• 虚拟专用服务器：
  • WireGuard 网关接口打开wg0 10.0.80.1/24
  • 面向互联网的接口eth0，启用伪装
  • 已启用 IP 转发
• 家庭服务器：
  • 到 VPS 的 WireGuard 隧道开启wg0 10.0.80.200/24
  • 面向 LAN 的接口enp45s0 10.0.1.200，可通过10.0.1.1
  • docker82 10.0.82.1/24：Docker 容器的桥梁
    • 10.0.82.14需要挖隧道的容器
    • Docker iptables 被禁用，伪装和转发是使用 nftables 手动设置的，在下面描述的内容之前确认工作正常
  • 已启用 IP 转发

我已经使用 WireGuard 在其他设备上使用 VPS 作为默认网关进行了测试AllowedIPs = 0.0.0.0/0, ::/0，因此我知道 VPS 上的伪装和转发确实有效。

我尝试在我的家庭服务器上设置基于源的路由，如下所示：

echo "100 wireguard" >>/etc/iproute2/rt_tables
ip rule add from 10.0.82.14 table wireguard
ip route add default via 10.0.80.1 dev wg0 table wireguard
ip route add 10.0.1.1 dev enp45s0 table wireguard # needed for Docker DNS resolver

在容器 ( 10.0.82.14) 内，我确实可以访问，10.0.80.1但 ping 公共 IP 会导致目标主机无法访问响应：

a468bb1b5494:~# ip route
default via 10.0.82.1 dev eth0
10.0.82.0/24 dev eth0 proto kernel scope link src 10.0.82.14

a468bb1b5494:~# ping 10.0.80.1
PING 10.0.80.1 (10.0.80.1) 56(84) bytes of data.
64 bytes from 10.0.80.1: icmp_seq=1 ttl=63 time=9.06 ms
64 bytes from 10.0.80.1: icmp_seq=2 ttl=63 time=9.28 ms
^C
--- 10.0.80.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 9.057/9.170/9.284/0.113 ms

a468bb1b5494:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 10.0.82.1 icmp_seq=1 Destination Host Unreachable
From 10.0.82.1 icmp_seq=2 Destination Host Unreachable
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1016ms

tcpdumpdocker82从容器主机（主服务器）启动：

laxis@nuc:~$ sudo tcpdump -n -i docker82 icmp
listening on docker82, link-type EN10MB (Ethernet), snapshot length 262144 bytes
14:21:41.229730 IP 10.0.82.14 > 10.0.80.1: ICMP echo request, id 28, seq 1, length 64
14:21:41.351761 IP 10.0.80.1 > 10.0.82.14: ICMP echo reply, id 28, seq 1, length 64
14:21:42.231232 IP 10.0.82.14 > 10.0.80.1: ICMP echo request, id 28, seq 2, length 64
14:21:42.241748 IP 10.0.80.1 > 10.0.82.14: ICMP echo reply, id 28, seq 2, length 64
14:21:43.488539 IP 10.0.82.14 > 8.8.8.8: ICMP echo request, id 29, seq 1, length 64
14:21:43.488686 IP 10.0.82.1 > 10.0.82.14: ICMP host 8.8.8.8 unreachable, length 92
14:21:44.515474 IP 10.0.82.14 > 8.8.8.8: ICMP echo request, id 29, seq 2, length 64
14:21:44.515576 IP 10.0.82.1 > 10.0.82.14: ICMP host 8.8.8.8 unreachable, length 92

tcpdumpwg0从家庭服务器上：

laxis@nuc:~$ sudo tcpdump -n -i wg0 icmp
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
14:23:40.848287 IP 10.0.82.14 > 10.0.80.1: ICMP echo request, id 30, seq 1, length 64
14:23:40.857968 IP 10.0.80.1 > 10.0.82.14: ICMP echo reply, id 30, seq 1, length 64
14:23:41.849639 IP 10.0.82.14 > 10.0.80.1: ICMP echo request, id 30, seq 2, length 64
14:23:41.859707 IP 10.0.80.1 > 10.0.82.14: ICMP echo reply, id 30, seq 2, length 64
14:23:43.230307 IP 10.0.82.14 > 8.8.8.8: ICMP echo request, id 31, seq 1, length 64
14:23:44.259534 IP 10.0.82.14 > 8.8.8.8: ICMP echo request, id 31, seq 2, length 64

wg0VPS 侧的接口看不到 的任何回显请求数据包8.8.8.8。

目前我不明白自定义路由表是否有任何作用；看起来网络堆栈确实以某种方式通过 发送数据包wg0，但仍然在内部进行回复，就好像主机无法访问一样。

有谁知道这可能与什么有关？

谢谢

ip route从 切换到时，我无法通过“正确”接口发送响应数据包netplan。

设置：
服务器 - 两个接口
eth1，vlan 101, 10.0.1.2/24，默认路由，10.0.1.1 gateway
eth2，vlan 102, 10.0.2.2/24

客户端
eth0VLAN 102、10.0.2.3/24、默认路由、10.0.2.1 网关

中间有一个路由器（pfsense），允许vlan之间的流量。

重现步骤
当使用从客户端连接到服务器时，10.0.2.2一切都按预期工作。
当从客户端连接到服务器时，10.0.1.2连接保持打开状态 30 秒，然后通信停止。我相信来自服务器的返回数据包是使用eth2接口发送的，因为该路由是“更好”的匹配。

我发现这篇 suse 文章https://www.suse.com/support/kb/doc/?id=000016626只要我这样做，它就适用于我的情况ip route。例如：

ip route add 10.0.1.0/16 dev eth1 src 10.0.1.2 table T101
ip route add default via 10.0.1.1 dev eth1 src 10.0.1.2 table T101
ip rule add from 10.0.1.2 table T101 prio 1

ip route add 10.0.2.0/16 dev eth2 src 10.0.2.2 table T102
ip route add default via 10.0.2.1 dev eth2 src 10.0.2.2 table T102
ip rule add from 10.0.2.2 table T102 prio 1

问题
但我无法使用 netplan 得到类似的结果。

我的网络计划尝试：

network:
  ethernets:
    eth0:
      dhcp4: false
      optional: true
  vlans:
    vlan101:
      id: 101
      link: eth0
      addresses: [10.0.1.2/24]
      routing-policy:
      - from: 10.0.1.2
        table: 101
        priority: 1
      routes:
      - to: default
        via: 10.0.1.1
        scope: link
        from: 10.0.1.2
        table: 101
      - to: default
        via: 10.0.1.1
    vlan102:
      id: 102
      link: eth0
      addresses: [10.0.2.2/24]
      macaddress: dc:a6:32:c7:09:15
      routing-policy:
      - from: 10.0.2.2
        table: 102
        priority: 1
      routes:
      - to: default
        via: 10.0.2.1
        scope: link
        from: 10.0.2.2
        table: 102
  version: 2

这里的高级程序员但讨厌 linux 网络限制，与所有编程语言相比，这使事情变得困难。

实际上，我需要制定基于策略的路由，允许特定的 lan ip 地址选择特定的传出接口（比如 eth5）。在我的情况下，即使是 ipset 也不够强大。我想允许第一个八进制为“10”而最后一个八进制以“9”结尾的所有 lan ip。那将是10.*.*.??9或在javascript中if(ip.match("\10\..*\.(\d+9|9)\g")) ...USE eth5

有谁知道实现这一目标的某种技巧？如果我们必须坚持使用 CIDR，那可能会有数千个 IP CIDR，这太疯狂了。

谢谢

我（可以）在 Internet 的（虚拟化）服务器上有一堆 IPv6 地址，这些地址来自我的托管服务提供商，该地址是在直接连接的网络中分配的（来自 /64，其中配置了 eth0）。如果这些 IPv6 地址用于我的 VPN（wireguard）到该服务器，我该如何使用一些？

通常必须有一条指向我的服务器的 VPN 内部使用的 IPv6 地址的路由，但没有这样的路由条目，因此邻居发现请求将不起作用。我是否可以将用于 VPN 的 IPv6 地址也定义为主接口 (eth0) 上的虚拟地址以响应邻居发现？对于 IPv4，我使用 NAT 没有问题，但是将 NAT 与 IPv6 一起使用不是解决方案，不是吗？

创建 dnat 规则时，可以指定以下命令：

nft 'add rule ip  twilight prerouting ip  daddr 1.2.3.0/24 dnat ip  prefix to ip  daddr map { 1.2.3.0/24 : 2.3.4.0/24 }'

然后获取映射地址的 dnat，例如1.2.3.4 -> 2.3.4.4. 此命令按预期运行，并根据此处的nftables v1.0.4 (Lester Gooch #3)答案运行。

如果我尝试对 ipv6 执行相同操作，请使用以下命令：

nft 'add rule ip6 twilight prerouting ip6 daddr aa:bb:cc:dd::/64 dnat ip6 prefix to ip6 daddr map { [aa:bb:cc:dd::]/64 : [bb:cc:dd:ee::]/64 }'
nft 'add rule ip6 twilight prerouting ip6 daddr aa:bb:cc:dd::/64 dnat ip6 prefix to ip6 daddr map { aa:bb:cc:dd::/64 : bb:cc:dd:ee::/64 }'
nft 'add rule ip6 twilight prerouting ip6 daddr aa:bb:cc:dd::/64 dnat ip6 prefix to ip6 daddr map { "aa:bb:cc:dd::/64" : "bb:cc:dd:ee::/64" }'

然后，我收到以下错误消息：

Error: syntax error, unexpected newline
add rule ip6 twilight prerouting ip6 daddr aa:bb:cc:dd::/64 dnat ip6 prefix to ip6 daddr map { [aa:bb:cc:dd::]/64 : [bb:cc:dd:ee::]/64 }
                                                                                                                                        ^
Error: syntax error, unexpected newline
add rule ip6 twilight prerouting ip6 daddr aa:bb:cc:dd::/64 dnat ip6 prefix to ip6 daddr map { aa:bb:cc:dd::/64 : bb:cc:dd:ee::/64 }
                                                                                                                                    ^
Error: syntax error, unexpected newline
add rule ip6 twilight prerouting ip6 daddr aa:bb:cc:dd::/64 dnat ip6 prefix to ip6 daddr map { "aa:bb:cc:dd::/64" : "bb:cc:dd:ee::/64" }
                                                                                                                                        ^

有没有办法在 nftables 中制作匿名 ipv6 映射？

在 Linux 笔记本电脑上，我想允许从 LAN 访问本地托管的 VM (kvm)。

我想对 VM 进行 DNAT。

网络

client  <-- LAN 192.168.3.0/24 --> host <-- bridge 192.168.113.0/24 --> guest

主持人

• wlp3s0: 192.168.3.221/24
• br0: 192.168.113.1/24
• net.ipv4.ip_forward = 1
• 桥：

# bridge -d link
16: vnet5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 100 
    hairpin off guard off root_block off fastleave off learning on flood on mcast_flood on bcast_flood on mcast_router 1 mcast_to_unicast off neigh_suppress off vlan_tunnel off isolated off locked off

• 路由：

default via 192.168.3.1 dev wlp3s0 proto dhcp src 192.168.3.221 metric 600 
192.168.3.0/24 dev wlp3s0 proto kernel scope link src 192.168.3.221 metric 600 
192.168.113.0/24 dev br0

• Netfilter 规则摘录：

table inet filter {
  chain forward {
    type filter hook forward priority 0; policy drop;
    ct state established,related counter accept
    ct state invalid counter drop
    tcp dport 8080 counter log prefix "forward: " accept
  }
}

table ip nat {
  chain prerouting {
    type nat hook prerouting priority dstnat
    tcp dport 8080 counter log prefix "dnat: " dnat to 193.168.113.201:8080
  }
  chain postrouting {
    type nat hook postrouting priority srcnat
    iifname br0 oifname wlp3s0 counter masquerade
  }
}

客人

• enp1s0: 192.168.113.201/24
• 路线：

default via 192.168.113.1 dev enp1s0 proto dhcp src 192.168.113.201 metric 100 
192.168.113.0/24 dev enp1s0 proto kernel scope link src 192.168.113.201 metric 100

• 没有防火墙
• 服务监听 0.0.0.0:8080

客户

• 地址：192.168.3.2

测试正常

• 从主机到来宾 Ping ( ping -c 1 192.168.113.201)
• 从主机到客户服务的 curl ( curl -q http://192.168.113.201:8080)
• 访客访问互联网 ( curl -q https://serverfault.com)

问题

来自 LAN ( ) 上另一个客户端的呼叫服务curl -q http://192.168.3.221:8080未到达来宾。

主机 wlp3s0 接口上的 Tcpdump：

11:10:54.063354 IP 192.168.3.2.43278 > 192.168.3.221.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0
11:10:54.063388 IP 192.168.3.2.43278 > 193.168.113.201.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0

（当转发和过滤被触发时，我在系统日志中看到“forward”和“dnat”行。）

我在主机的 br0 接口上看不到数据包。

请注意 tcpdump 的第二行。目的地被改写了，但是在wlp3s0界面上！

我还使用有线以太网而不是 Wifi 进行了测试：完全相同的行为。

为什么数据包没有通过 br0 路由到网桥？

任何提示表示赞赏！

我已经tun设置了一个 IP 地址为 172.100.0.1 的接口。 ip addr证实了这一点。我也跑过

ip route add 192.168.0.0/16 dev tun0

ip route list节目

10.2.164.0/22 dev wlan0 proto kernel scope link src 10.2.166.25
192.168.0.0/16 dev tun0 scope link

第一条规则是由我的网络管理员设置的。10.2.166.25 是我在wlan0.

但是，当我跑步时ip route get 192.168.1.1，我得到

192.168.1.1 via 10.2.164.1 dev wlan0 table 1029 src 10.2.166.25 uid 2000
    cache

我不知道为什么它会通过wlan0. 为什么不遵守我的路由规则？

ip route show table 0节目

default via 10.2.164.1 dev wlan0 table 1029 proto static
10.2.164.2/22 dev wlan0 table 1029 proto static scope link
default dev dummy0 table 1003 proto static scope link
10.2.164.0/22 dev wlan0 proto kernel scope link src 10.2.166.25
192.168.0.0/16 dev tun0 scope link
broadcast 10.2.164.0 dev wlan0 table local proto kernel scope link src 10.2.166.25
local 10.2.166.25 dev wlan0 table local proto kernel scope host src 10.2.166.25
broadcast 10.2.167.255 dev wlan0 table local proto kernel scope link src 10.2.166.25
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 10.2.166.25
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1
local 172.100.0.1 dev tun0 table local proto kernel scope host src 172.100.0.1
fe80::/64 dev wlan0 table 1029 proto kernel metric 256 pref medium
fe80::/64 dev wlan0 table 1029 proto static metric 10244 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
fe80::/64 dev tun0 table 1034 proto kernel metric 256 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
fe80://64 dev dummy0 table 1003 proto kernel metric 256 pref medium
default dev dummy0 table 1003 proto static metric 1024 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
fe80::/64 dev rmnet_data0 table 1009 proto kernel metric 256 pref medium
default via fe80::953:77d9:c45f:cc0c dev rmnet_data0 table 1009 proto ra metric 1024 expires 64686sec hoplimit 255 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium
local ::1 dev lo table local proto unspec metric 0 pref medium
local fe80::3e28:6dff:fee2:f0d0 dev lo table local proto unspec metric 0 pref medium
local fe80::478d:89c5:a152:57aa dev lo table local proto unspec metric 0 pref medium
local fe80::4c49:b3ff:feb7:ac5c dev lo table local proto unspec metric 0 pref medium
local fe80::bc9a:eb93:5ec9:d8e7 dev lo table local proto unspec metric 0 pref medium
ff00::/8 dev dummy0 table local metric 256 pref medium
ff00::/8 dev rmnet_data0 table local metric 256 pref medium
ff00::/8 dev wlan0 table local metric 256 pref medium
ff00::/8 dev tun0 table local metric 256 pref medium
unreachable default dev lo proto kernel metric 4294967295 error -1 pref medium