那些遇到过的问题

当应用于本地目的地流量时,DNAT 和 REDIRECT 是否等效?

lar*_*sks 6 networking nat iptables openstack

在设置我们的 OpenStack 环境时,我遇到了一个问题,即阻止实例联系在主机上运行的服务器。元数据服务(暴露 HTTP API)在主机的 8775 端口上运行,OpenStack 网络代码添加以下 DNAT 规则以通过端口 80 上的特殊地址授予访问权限:

-A PREROUTING -d 169.254.169.254/32 
  -p tcp -m tcp --dport 80 -j DNAT --to-destination 127.0.0.1:8775
Run Code Online (Sandbox Code Playgroud)

实例通过本地桥接设备连接到主机,并169.254.169.254分配给lo.

虽然此规则成功匹配来自尝试访问的来宾实例的数据包http://169.254.168.254/,但它们永远不会到达侦听服务。

用基本上等效的 REDIRECT 替换此 DNAT 规则可使一切正常工作:

-A PREROUTING -d 169.254.169.254/32 
  -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8775
Run Code Online (Sandbox Code Playgroud)

我试图理解为什么 REDIRECT 起作用而 DNAT 失败。从 iptables 文档中不清楚该DNAT规则是否适用于本地目标流量。我希望这里有人可以提供权威的答案,最好有文档支持,或者可以建议我的配置中可能有什么问题阻止了 DNAT 规则按预期工作。

bah*_*mat 3

您尝试做的事情被内核明确拒绝

您无法将数据包从非 127/8 地址发送到 127/8。内核将它们过滤掉并丢弃它们,因为它认为它们是“火星人”。

这可能是因为rp_filter默认为打开而发生的。禁用它可能会改变这种行为(尽管这会禁用一些潜在的关键安全保护)。

使用重定向,您不会更改 IP,这就是它起作用的原因。换句话说,如果您要使用 DNAT,您可以将其发送到127.0.0.0/8之外的任何地址。

归档时间:

查看次数:

2081 次

最近记录:

13 年,3 月 前
相关归档
如何避免与VPN内网的网络冲突? 45
Kubernetes:Service IP 和 pod IP 之间的关系 6
iptables 与硬件防火墙 5
Windows 2008 R2 服务器向子网外的 IP 发送 Arp 请求 5
我可以在同一个交换机上使用 A 类和 B 类吗? 4
Web 场的远程桌面 (RDP) 配置 3
允许 Docker 容器在主机上使用 IPSEC VPN 3
如何将所有本地流量路由到 Squid? 2
无法通过主机名 ping linux (RedHat) 机器 0
如果服务器运行缓慢,ping 仍然显示正常吗? 0
难疑归档
打击垃圾邮件 - 作为电子邮件管理员、域所有者或用户,我可以做什么? 110
在硬盘驱动器上钻孔是否足以使其数据无法恢复? 99
Vagrant / VirtualBox DNS 10.0.2.3 不工作 82
关闭 psql 交互式输出的寻呼机 63
如何每天在特定时间运行 cron 作业? 62
GNU less:如何在不使用 less -I 选项的情况下忽略区分大小写进行搜索? 61
你如何等待一个exe在批处理文件中完成? 58
如何修改 Cronjob 电子邮件主题 57
为什么在 kubernetes 上禁用交换 56
如何在 Linux 中隐藏 shell 应用程序的输出? 55