Tham gia Đăng nhập
Điểm:0
nobody avatar Server

nftables natting với IP nguồn

lá cờ in
nobody

Tôi có một máy chủ trong trung tâm dữ liệu là máy chủ Proxmox. Trên máy chủ (một trong số nhiều máy chủ, chúng nằm trong cụm Proxmox), tôi đang lưu trữ nhiều máy ảo khác nhau.

Các dịch vụ trên VM được hiển thị thông qua iptables (sử dụng ufw) như ví dụ sau:

-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 21 -j DNAT --to-destination <local_ip>:<port>
-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 23 -j DNAT --to-destination <local_ip>:<port>
-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 10090:10100 -j DNAT --to-destination <local_ip>:<port>

Các máy ảo được kết nối bằng cách sử dụng một cầu nối ảo như tài liệu về trạng thái Proxmox. (Tài liệu Proxmox)Những công việc này. Tuy nhiên có một nhược điểm. VM không nhận được IP nguồn của bên kết nối. Điều này cung cấp cho tôi các tùy chọn hạn chế về lọc IP, đăng nhập vào nhiều máy ảo khác.

Bây giờ tôi đang xem xét một giải pháp tương tự cho nftables (sẽ hoặc đã thay thế iptables).

Có cách nào để thiết lập quy tắc định tuyến hoặc chuyển tiếp cho phép IP nguồn gửi tới VM không?

140
0 + 0
Điểm:1
setenforce 1 avatar Server
lá cờ us
setenforce 1

Bạn có thể thực hiện các quy tắc tương tự trong nftables theo cách này:

bảng inet nat {
    định tuyến trước chuỗi {
        gõ nat hook prerouting ưu tiên dstnat;
        iif eno1 ip daddr { <public_ip> } tcp dport 21 dnat <local_ip>:<port>
        iif eno1 ip daddr { <public_ip> } tcp dport 23 dnat <local_ip>:<port>
        iif eno1 ip daddr { <public_ip> } tcp dport 10090-10100 dnat <local_ip>:<port>
    }
}

Mặc dù, Destination NAT không viết lại IP nguồn, vì vậy bạn nên xem IP nguồn thực. Nếu không thể, bạn có thể có quy tắc NAT nguồn trong bảng NAT định tuyến sau mà bạn muốn xóa. Bạn có thể kiểm tra nó với iptables -t nat -L.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.