iptables NAT REDIRECT

Tôi có một máy chủ đang nhận lưu lượng nhật ký hệ thống. Nhiều thiết bị của tôi chỉ có thể gửi tới cổng udp/514 mặc định. Máy chủ nhật ký hệ thống của tôi không thể chạy trên các cổng <1024 và đang chạy trên 5000. Tôi có một CHUYỂN ĐỔI PREROUTING tự nhiên trên hệ thống và nó đang hoạt động rất tốt.

Tôi có một vài bộ điều khiển không dây Aruba mà tôi muốn chuyển đến một cổng khác. Tôi đang cố chuyển hướng các gói có địa chỉ nguồn 10.5.5.0/24 sang cổng 5008. Đây là cấu hình hoàn chỉnh.

* mangle
: CHẤP NHẬN TRƯỚC [53851:21198923]
:CHẤP NHẬN ĐẦU VÀO [53851:21198923]
:CHẤP NHẬN TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [1227:8988526]
:CHẤP NHẬN SAU ĐÓ [1227:8988526]
LÀM
# Hoàn thành vào Thứ Năm 30 tháng 9 14:52:43 2021
# Được tạo bởi iptables-save v1.8.4 vào Thứ Năm ngày 30 tháng 9 14:52:43 năm 2021
*tự nhiên
:CHẤP NHẬN TRƯỚC [0:0]
:INPUT CHẤP NHẬN [0:0]
:POSTROUTING CHẤP NHẬN [0:0]
:CHẤP NHẬN ĐẦU RA [0:0]
-A PREROUTING -s 10.5.5.0/24 -p udp -m udp --dport 514 -j REDIRECT --to-ports 5008
-A PREROUTING -p udp -m udp --dport 514 -j REDIRECT --to-ports 5000
LÀM
# Hoàn thành vào Thứ Năm 30 tháng 9 14:52:43 2021
# Được tạo bởi iptables-save v1.8.4 vào Thứ Năm ngày 30 tháng 9 14:52:43 năm 2021
*lọc
:CHẤP NHẬN ĐẦU VÀO [53852:21199096]
:CHẤP NHẬN TRƯỚC [0:0]
:CHẤP NHẬN ĐẦU RA [1234:8990186]
-A INPUT -s 10.0.0.0/8 -p udp -m udp --dport 514 -j CHẤP NHẬN
LÀM

Chuyển hướng đến udp/5000 đang hoạt động tốt, nhưng mọi thứ đang được chuyển hướng đến 5000. Lưu lượng truy cập Aruba từ 10.5.5.0/24 không được đẩy lên udp/5008.

Nếu tôi ra lệnh: iptables -t nat -L -n -v --line-number . Nó xác nhận rằng 0 byte đang chạm vào Dòng 1 và mọi thứ đang chạm vào Dòng 2.

Tôi cho rằng thứ tự là quan trọng và dòng cụ thể hơn phải ở trước dòng chung (như minh họa ở trên). Tôi đã thử đảo ngược chúng và nó không giúp được gì.

Syslog trên UDP là đơn hướng và không trạng thái, vì vậy bạn sẽ nghĩ rằng đây sẽ là NAT dễ dàng nhất trên thế giới.

Có ai đã thực hiện loại cấu hình này? Đây là tất cả trên hộp và tôi chỉ đang cố tách thông báo nhật ký hệ thống Aruba đến của tôi khỏi tất cả các thông báo khác của tôi.

Cảm ơn!

Chuyển hướng cổng 514 thành 5000 và làm cho nó hoạt động trên máy cục bộ

Nếu bạn đang tạo quy tắc iptables trên máy chủ nhật ký hệ thống của mình, hãy sử dụng lệnh bên dưới:

iptables -t nat -A OUTPUT -o lo -p tcp --dport 514 -j REDIRECT --to-port 5000

hoặc

iptables -A PREROUTING -t nat -i eth0<Incoming-interface> -p tcp --dport 514 -j REDIRECT --to-port 5000

chuyển hướng một kết nối đến một địa chỉ IP khác trên một cổng cụ thể

Nếu bạn đang cố gắng chuyển tiếp cổng sang một IP khác và máy chủ của bạn (tôi gọi nó là tường lửa) nhận UDP/514 phía sau máy khách và máy chủ Syslog giống như kịch bản trên github của tôi, bạn phải làm chuyển tiếp cổng iptables với setp cây:

kịch bản ví dụ đơn giản:

 | máy khách:10.5.5.0/24 | --> | tường lửa 10.5.5.1:enp0s8 enp0s3:192.168.2.1 | --> | Nhật ký hệ thống 192.168.2.2:enp0s3 |

1- Bật chuyển tiếp IP

Sudo sysctl -w net.ipv4.ip_forward=1

2- ĐẶT TRƯỚC cho lưu lượng đến tường lửa

Sudo iptables -t nat -A PREROUTING -d 10.5.5.1 -i enp0s8 -p tcp --dport 514 -j DNAT --to-destination 192.168.2.2:5000 

3- POSTROUTING cho lưu lượng rời khỏi máy chủ Syslog

sudo iptables -t nat -A POSTROUTING -o enp0s3 -p tcp --dport 514 -d 192.168.2.2 -j SNAT --to-source 192.168.2.1