Tôi có một số LXC được lưu trữ trên máy chủ Proxmox. Tất cả chúng đều được kết nối với cùng một mạng (10.0.0.0/24) và được cho là đi ra Internet thông qua máy chủ proxmox (10.0.0.254 & WAN IP)
Đây là cấu hình tường lửa proxmox:
iptables -S -t nat
-P CHẤP NHẬN TRƯỚC
-P CHẤP NHẬN ĐẦU VÀO
-P CHẤP NHẬN ĐẦU RA
-P SAU KHI CHẤP NHẬN
-N DOCKER
-A POSTROUTING -s 10.0.0.0/24 -o vmbr0 -j MASQUERADE
iptables -S
-P CHẤP NHẬN ĐẦU VÀO
-P CHẤP NHẬN VỀ PHÍA TRƯỚC
-P CHẤP NHẬN ĐẦU RA
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-NGƯỜI DÙNG
Tôi có hai mạng khác nhau được kết nối với máy chủ (10.0.0.0/24 & 20.0.0.0/24) và chúng có thể giao tiếp chính xác vì tính năng chuyển tiếp ip được bật.
net.ipv4.ip_forward=1
Khi tôi gửi ping từ một trạm LAN tới internet, chỉ có cái đầu tiên đi qua chứ không phải cái khác.
iptables -vL -t nat ns359014: Sat 26 Jun 11:45:18 2021
PREROUTING chuỗi (chính sách CHẤP NHẬN 363 gói, 15858 byte)
pkts byte đích prot chọn không tham gia đích nguồn
Chuỗi INPUT (chính sách CHẤP NHẬN 116 gói, 5978 byte)
pkts byte đích prot chọn không tham gia đích nguồn
ĐẦU RA chuỗi (chính sách CHẤP NHẬN 163 gói, 10679 byte)
pkts byte đích prot chọn không tham gia đích nguồn
Chuỗi POSTROUTING (chính sách CHẤP NHẬN 163 gói, 10679 byte)
pkts byte đích prot chọn không tham gia đích nguồn
1 84 MASQUERADE tất cả -- mọi vmbr0 10.0.0.0/24 mọi nơi
Chuỗi DOCKER (0 tài liệu tham khảo)
pkts byte đích prot chọn không tham gia đích nguồn
Tôi đã chụp được một .pcap và có vẻ như yêu cầu đầu tiên đã được thực hiện, đã quay lại nhưng tường lửa không chuyển tiếp nó trở lại mạng LAN.
ICMP PCAP
Điều này đã hoạt động vài ngày trước cho đến khi tôi đẩy một số bản cập nhật và khởi động lại tường lửa.
Tôi đã dành vài ngày qua để thử rất nhiều thứ và bây giờ tôi đang cạn kiệt ý tưởng ^^
Bất kỳ trợ giúp sẽ được đánh giá cao.
CHỈNH SỬA: Có vẻ như Docker chịu trách nhiệm về vấn đề này, một bản cài đặt mới sạch sẽ đã giải quyết vấn đề của tôi.
