微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

Linux路由具有两个NIC(LAN与Internet),具有NAT和桥接VM

分类:Linux作者:编程之家
我的设置:

此设置中只有一台物理机,一台带有两个网络适配器的虚拟机主机系统(VM).

一个NIC(eth0)连接到内部网络(LAN子网,例如10.x.x.x / 24),并应用于内部流量.

一个NIC(eth1)连接到公共Internet(它配置了公共可路由IP).此连接应用于将公共Internet流量端口转发到VM的内部IP(传入流量),并允许VM通过NAT访问公共Internet(传​​出流量).

虚拟机使用LAN-subnet中的IP地址(10.x.x.x / 24,与eth0相同)

我有一个为虚拟机的虚拟网络接口(vnet0,vnet1,…)和LAN-NIC(eth0)配置的网桥设备(br0).这意味着:

> br0在LAN子网中有一个IP地址(10.x.x.x / 24)
> eth0被添加到桥上
> vnet0,…(由VM使用)动态添加到网桥

问题

局域网内的通信工作正常.此外,VM-Host可通过公共IP访问,并具有Internet访问权限.

我的问题是NAT配置也允许VM访问公共互联网.

我试图使用简单的(S)NAT规则:

iptables -t nat -I POSTROUTING -s 10.x.x.x/24 ! -d 10.x.x.x/24 -j SNAT --to-source y.y.y.102

而y.y.y.102是第二个NIC(eth1)的公共可路由IP.

我发现我需要启用“ip_forward”和“bridge-nf-call-iptables”:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables

否则,桥接包将不会被iptables处理.

现在来自VM的数据包似乎经历了以下iptables链:

>“前进”(常规) – 我在那里接受(-j ACCEPT,计数器上升)
>“PREROUTING”(nat) – 我在那里接受它们(政策接受,计数器上升)
>“POSTROUTING”(nat) – 它们符合SNAT规则

但是并不是所有的数据包似乎都因为我到目前为止无法弄清楚的任何原因而到达PRE / POSTROUTING.

然而,更有趣的是tcpdump -i eth0与tcpdump -i eth1显示数据包(我试图从VM内部ping外部IP)似乎是通过错误的接口eth0(= LAN-NIC)发送的.甚至应用了NAT规则,因此源地址已更改为另一个NIC(eth1)的IP.

问题:

如何配置系统输出NATed数据包,使用公共IP作为源地址,通过正确的NIC(eth1)发送?

我是否需要将eth1添加到网桥(br0)?如果是,如何正确分配公共IP地址?通常需要在网桥设备上配置IP.我是否需要为桥接器分配别名地址(br0:0上的公共IP)?

配置细节

主机系统上的路由配置:

# ip r
default via y.y.y.126 dev eth1
10.x.x.0/24 dev br0  proto kernel  scope link  src 10.x.x.11
y.y.y.96/27 dev eth1 proto kernel  scope link  src y.y.y.102

> IP:y.y.y.126是我们的公共互联网路由器.
> IP:y.y.y.102是主机的公共IP
> IP:10.x.x.11是主机的LAN IP
> subnet:10.x.x.0 / 24是局域网
> subnet:y.y.y.96 / 27是公共IP子网

网卡配置:

# ifconfig
br0: flags=4163<UP,broADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.x.x.11  netmask 255.255.255.0  broadcast 10.x.x.255
        inet6 ####::###:####:####:####  prefixlen 64  scopeid 0x20<link>
        ether ##:##:##:##:##:##  txqueuelen 0  (Ethernet)
        RX packets 2139490  bytes 243693436 (232.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 29085  bytes 2398024 (2.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,MULTICAST>  mtu 1500
        inet6 ####::###:####:####:####  prefixlen 64  scopeid 0x20<link>
        ether ##:##:##:##:##:##  txqueuelen 1000  (Ethernet)
        RX packets 2521995  bytes 290600491 (277.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 383089  bytes 48876399 (46.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xdfa60000-dfa7ffff

eth1: flags=4163<UP,MULTICAST>  mtu 1500
        inet y.y.y.102  netmask 255.255.255.224  broadcast y.y.y.127
        inet6 ####::###:####:####:####  prefixlen 64  scopeid 0x20<link>
        ether ##:##:##:##:##:##  txqueuelen 1000  (Ethernet)
        RX packets 2681476  bytes 597532550 (569.8 MiB)
        RX errors 0  dropped 130  overruns 0  frame 0
        TX packets 187755  bytes 21894113 (20.8 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device memory 0xdfa00000-dfa1ffff

桥配置:

# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.002590eb1900       no              eth0
                                                        vnet0

和iptables规则:

# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets,0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  723  106K DROP       udp  --  *      *       y.y.y.0/24           0.0.0.0/0            udp spt:5404
  586 40052 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    5   420 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    2   458 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4
    2   458 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets,0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1343  173K ACCEPT     tcp  --  *      *       10.x.x.2             0.0.0.0/0            tcp spt:3389
 1648  127K ACCEPT     tcp  --  *      *       0.0.0.0/0            10.x.x.2             tcp dpt:3389
   18  1040 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4
   18  1040 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 525 packets,84016 bytes)
 pkts bytes target     prot opt in     out     source               destination


# iptables -vnL -t nat
Chain PREROUTING (policy ACCEPT 13 packets,1218 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 5 packets,420 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 13 packets,880 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 14 packets,920 bytes)
 pkts bytes target     prot opt in     out     source               destination
    5   300 SNAT       all  --  *      *       10.x.x.0/24          !10.x.x.0/24           to:y.y.y.102

这里是LAN接口卡上捕获的NATed数据包(来自VM的ping):

# tcpdump -i eth0
12:53:55.243350 IP y.y.y.102 > y.y.y.110: ICMP echo request,id 2,seq 5,length 40

输出“ip规则”:

# ip rule
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

解决方法

>检查您的VM是否具有10.x.x.x / 24上的IP地址(网络掩码255.255.255.0)
>将10.x.x.11(br0 ip address)设置为VM的认网关
>在物理主机上启用IP转发
>启用SNAT: 
iptables -t nat -A POSTROUTING -s 10.x.x.x/24 -o eth1 -j SNAT --to y.y.y.102

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

基于LAMP搭建WordPress博客
1、安装Apache。 1)执行如下命令,安装Apache服务及其扩展包。 yum -y install httpd mod_ssl mod_perl mod_auth_mysql 2)执行如下命令,查看Apache是否安装成功。 httpd -v 3)执行如下命令,启动Apache服务。 syst
ansible批量采集、批量互信、批量复制、分发文件
一、先说一下用ansible批量采集机器信息的实现办法: 1、先把要采集的机器信息的IP添加到主节点机器的/etc/ansible/hosts里面; 2、在/etc/ansible/hosts里面添加想要登陆的密码和账号: [test] 192.168.192.77 192.168.192.78 1
vsftpd配置FTP服务器(Centos7.x安装)
安装配置 1. 安装vsftpd 检查是否安装了vsftpd # rpm -qa | grep vsftpdvsftpd-2.2.2-24.el6.x86_64 如果有展示则已经安装,不需要重新安装 安装vsftpd yum -y install vsftpd //-y表示不用输入确定,直接一路安装
抑制stable_secret读取关键信息
如何抑制stable_secret读取关键的“net.ipv6.conf.all.stable_secret”消息? 您可以/dev/null使用以下命令抑制额外的不需要的消息或将其重定向 [root@master ~]# sysctl -a --ignore 2&gt;/dev/null | gr
Linux值得收藏的40个命令总结,常用的正则表达式
1 删除0字节文件 find -type f -size 0 -exec rm -rf {} \; 2 查看进程 按内存从大到小排列 PS -e -o &quot;%C : %p : %z : %a&quot;|sort -k5 -nr 3 按 CPU 利用率从大到小排列 ps -e -o &quo
在Centos7上安装PXE装机环境来批量安装操作系统
## 步骤 1:安装必要的软件包 首先,需要确保系统已安装 `dhcp`、`tftp-server` 和 `httpd` 等软件包。可以使用以下命令进行安装: ```bash yum install -y dhcp tftp-server httpd syslinux-tftpboot xinetd
Linux系统解压zip包出现中文乱码问题
1. 使用指定GBK编码格式进行解压可以使用如下指定编码格式进行解压。 unzip -O GBK 资料.zip 或者使用CP936也是可以指定GBK编码格式进行解压 unzip -O CP936 资料.zip 2. 使用环境变量指定压缩/解压缩编码格式在环境变量中,指定unzip参数,总是以指定的字
在Linux 中使用 pidstat 命令监控进程性能
一、安装 pidstat 命令 检查系统是否已经安装了 pidstat 打开终端,输入以下命令检查是否已经安装了 pidstat: pidstat -V 如果显示版本信息,说明已经安装,可以跳过安装步骤。如果提示找不到命令,那么继续下一步安装。 更新包管理器 在安装 pidstat 前,建议先更新系
Ipmitool命令之ipmitool user(用户管理)
常见的用户配置命令: (1)查看用户清单 root@master:~# ipmitool user list 1 ID Name Callin Link Auth IPMI Msg Channel Priv Limit 1 ADMIN false false true ADMINISTRATOR (
Shell脚本之while read line的用法
Shell脚本之while read line的用法 while read line do … done &lt; file read通过输入重定向,把file的第一行所有的内容赋值给变量line,循环体内的命令一般包含对变量line的处理;然后循环处理file的第二行、第三行。。。一直到file的
苹果市值2025年有望达4万亿美元
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot