Tham gia Đăng nhập
Điểm:1
avatar Server

TPROXY can thiệp quy tắc chuyển tiếp cổng DNAT

lá cờ in
GreenVine

Tôi đang thiết lập TPROXY trên bộ định tuyến VyOS của mình để chuyển tiếp một số lưu lượng truy cập nhất định tới một proxy trong suốt cục bộ. Nó hoạt động khá tốt, cho đến khi tôi phát hiện ra rằng tất cả các quy tắc chuyển tiếp cổng DNAT của tôi không còn hoạt động nữa (thời gian chờ kết nối khi kết nối từ mạng bên ngoài).

Môi trường

  • Bộ định tuyến: 10.0.0.1/24 (Proxy đang chạy trên 1234 cổng và thêm SO_MARK với 0xff)
  • Máy chủ nội bộ: 10.0.0.2/24 (Hải cảng 80 nên được đưa ra công chúng)

Quy tắc TPROXY

quy tc ip thêm fwmark 1 bng 100
tuyến ip thêm cc b0.0.0.0/0 dev lo bng 100

nft thêm bng myproxy
nft thêm chui ưu tiên định tuyến trước myproxy { loi ưu tiên định tuyến trước móc blc 0 \; }
nft thêm quy tc định tuyến trước myproxy ip Daddr { 127.0.0.1/32, 224.0.0.0/4, 255.255.255.255/32 } trvnft thêm quy tc định tuyến trước myproxy meta l4proto tcp ip Daddr 10.0.0.0/24 return
nft thêm quy tc đánh du định tuyến trước myproxy 0xff trli
nft thêm quy tc định tuyến trước myproxy meta l4proto { tcp, udp } đánh du đặt 1 tproxy thành 127.0.0.1:1234 chp nhn

nft thêm đầu ra myproxy chui { loi ưu tiên đầu ra hook route 0 \; }
nft thêm quy tc đầu ra myproxy ip Daddr { 127.0.0.1/32, 224.0.0.0/4, 255.255.255.255/32 } trli
nft thêm quy tc đầu ra myproxy meta l4proto tcp ip Daddr 10.0.0.0/24 trli
nft thêm quy tc đánh du đầu ra myproxy 0xff trli
nft thêm quy tc đầu ra myproxy meta l4proto { tcp, udp } đánh du được đặt 1 chp nhn

nft thêm blc bng
nft thêm chuyn hướng blc chui { ưu tiên định tuyến trước móc blc loi -150 \; }
nft thêm blc quy tc chuyn hướngcm meta l4proto tcp trong sut 1 du meta được đặt 1 chp nhn

Quy tắc DNAT

bảng danh sách $ nft nat

bảng ip nat {
    chuỗi PREROUTING {
        gõ nat hook prerouting ưu tiên dstnat; chính sách chấp nhận;
        iifname "pppoe0" tcp dport { 8080 } gói truy cập 7 byte 400 dnat đến 10.0.0.2:80
    }
}

Triệu chứng

Đang kết nối Bộ định tuyếnPublicIP:8080 sắp hết thời gian. Lý tưởng nhất là nó nên chuyển tiếp lưu lượng đến 10.0.0.2:80.

Tôi đoán lưu lượng truy cập DNAT trong nước được chuyển tiếp nhầm tới proxy (thay vì máy chủ thực 10.0.0.2), tuy nhiên tôi không thể tìm ra các quy tắc nft chính xác.

Cảm ơn trước!

220
0 + 1
Tom Yan avatar
lá cờ in
Tom Yan
Bạn đã thử thêm `meta l4proto tcp ip saddr 10.0.0.0/24 return` vào `myproxy prerouting` (tất nhiên là trước quy tắc `tproxy`).
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.