Sự cố với TFTP và IPTables và (các)-NAT

Tôi gặp một số vấn đề với việc tải xuống TFTP phía sau NAT bằng IPtables và tôi thực sự có thể nhờ sự trợ giúp của bạn. Tôi đã quen thuộc với các giá trị mạng, nhưng còn khá mới đối với IPtables, vì vậy tôi xin lỗi nếu tôi đang làm điều gì đó hoàn toàn sai.

Tôi có một máy chủ chạy Ubuntu 20.04 với hai nics và máy chủ này đang cố kết nối với máy chủ TFTP. Trong khi mọi thứ khác hoạt động hoàn toàn ổn, tôi đang hết thời gian chờ khi cố gắng sử dụng TFTP. Tôi nghi ngờ dựa trên tcpdump, nơi tôi thấy một số lưu lượng truy cập icmp (có thể) không được dịch chính xác, nhưng tôi không chắc..

Thông tin cấu trúc liên kết

Máy chủ TFTP: 130.221.69.14:udp\69
Máy chủ của tôi (TFTP-CLIENT):
eth0 = đường lên / 172.25.17.6
eth1 = downlink/10.14.254.0/24 (NAT nào cho eth0 với cấu hình bên dưới)


IFACE_WAN=eth0
IFACE_LAN=eth1
MẠNG_LAN=10.14.254.0/24

... cấu hình iptables

tiếng vang "1" > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o $IFACE_WAN -s $NETWORK_LAN ! -d $NETWORK_LAN -j MẶT MẠO
iptables -A FORWARD -d $NETWORK_LAN -i $IFACE_WAN -o $IFACE_LAN -m state --state LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
iptables -A FORWARD -s $NETWORK_LAN -i $IFACE_LAN -j CHẤP NHẬN

Khi thực hiện tcpdump trên eth1/$NETWORK_LAN (TRƯỚC NAT), tôi thấy:

Tôi không thấy lưu lượng truy cập ICMP nào ở đây.

root@swmgmt:~# tcpdump -i eth1 -n dst 130.221.69.14
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên eth1, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
20:38:34.901901 IP 10.14.254.164.59384 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:38:38.897841 IP 10.14.254.164.59384 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:38:43.899754 IP 10.14.254.164.59384 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:38:49.903083 IP 10.14.254.164.59384 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:38:56.907874 IP 10.14.254.164.59384 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:39:04.908915 IP 10.14.254.164.59384 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:39:12.909728 IP 10.14.254.164.59384 > 130.221.69.14.69: 23 LỖI EUNDEF "Phiên kết thúc"

Khi thực hiện tcpdump trên eth0/$NETWORK_WAN (SAU NAT), tôi thấy:

Tôi thấy lưu lượng truy cập icmp ở đây?

20:21:31.898048 IP 172.25.17.6.59650 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:21:31.899090 IP 172.25.17.6 > 130.221.69.14: ICMP 172.25.17.6 cổng udp 59650 không truy cập được, độ dài 55
20:21:39.024682 IP 172.25.17.6.59650 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:21:39.025524 IP 172.25.17.6 > 130.221.69.14: ICMP 172.25.17.6 không thể truy cập cổng udp 59650, độ dài 55
20:21:47.029243 IP 172.25.17.6.59650 > 130.221.69.14.69: 38 RRQ "switch-config/by-name/switch1" octet
20:21:47.030220 IP 172.25.17.6 > 130.221.69.14: ICMP 172.25.17.6 cổng udp 59650 không truy cập được, độ dài 55
20:21:55.030448 IP 172.25.17.6.59650 > 130.221.69.14.69: 23 LỖI EUNDEF "Phiên kết thúc"

Bất kỳ trợ giúp sẽ được appriciated rất nhiều!

Trân trọng Tor.

Bạn có thể cần tải trình trợ giúp NAT tftp vì tftp là một trong những giao thức không hoạt động tốt với NAT.

Cố gắng modprobe nf_nat_tftp.

Ghi chú: Thông tin trên là từ một hệ thống sử dụng nftables, không phải iptables. Số dặm của bạn có thể thay đổi. Trong mọi trường hợp, hãy cố gắng tìm nó dưới /lib/modules/<kernel-version>/kernel/net/ thư mục, có khả năng trong một thư mục con bộ lọc mạng ở cấp cao nhất hoặc dưới các thư mục ipv4 hoặc ipv6.