Tôi có một máy chủ Proxmox Linux, máy chủ này có thể gửi và nhận các gói đến các máy chủ lưu trữ trên mạng cục bộ, nhưng sẽ không xử lý các gói từ cổng. Điều này khiến lưu lượng truy cập internet không thành công, vì vậy tôi không thể chạy apt để cập nhật các gói. Tất cả các giao thức dường như bị ảnh hưởng.
VM đang chạy trên máy chủ có thể truy cập cổng tốt.
Tệp/etc/mạng/giao diện của tôi chứa:
tự động lo
vòng lặp iface lo inet
hướng dẫn sử dụng iface enp10s0 inet
tự động vmbr0
iface vmbr0 inet tĩnh
địa chỉ 10.0.1.200/24
cổng 10.0.1.1
bridge_ports enp10s0
bridge_stp tắt
cầu_fd 0
tự động wlp7s0
iface wlp7s0 inet tĩnh
hostapd /etc/hostapd/hostapd.conf
địa chỉ 10.0.2.1
mặt nạ mạng 255.255.255.0
tự động vmbr1
iface vmbr1 inet tĩnh
địa chỉ 10.1.2.1
mặt nạ mạng 255.255.255.0
bridge_ports không có
tắt cầu nối
cầu-fd 0
hậu kỳ echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.1.2.0/24' -o wlp7s0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.1.2.0/24' -o wlp7s0 -j MASQUERADE
wlp7s0 và vmbr1 là NAT'd để cho phép VM truy cập các thiết bị IOT không dây không có quyền truy cập vào mạng/internet chung.
Bảng lộ trình của tôi:
tuyến đường $ ip
mặc định qua 10.0.1.200 dev vmbr0 số liệu 100
10.0.1.0/24 dev vmbr0 liên kết phạm vi kernel proto src 10.0.1.200
10.0.2.0/24 dev wlp7s0 liên kết phạm vi kernel proto src 10.0.2.1
10.1.2.0/24 dev vmbr1 liên kết phạm vi kernel proto src 10.1.2.1
Sau khi đọc, tôi đã thử thay đổi rp_filter, nhưng việc thay đổi giá trị từ 2 thành 0 không giúp được gì. Các cài đặt mặc định (đã xóa giao diện VM):
$ sysctl -a | grep \.rp_filter
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.enp10s0.rp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.vmbr0.rp_filter = 0
net.ipv4.conf.vmbr1.rp_filter = 0
net.ipv4.conf.wlp7s0.rp_filter = 0
ip_forward được đặt:
$ mèo /proc/sys/net/ipv4/ip_forward
1
Tôi đã xác minh qua tcpdump rằng các gói đang được nhận từ cổng khi tôi thử ping từ máy chủ đến cổng hoặc từ máy chủ đến cổng. Ví dụ này sử dụng lệnh ping:
# tcpdump -n -i máy chủ vmbr0 10.0.1.1 và icmp
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên vmbr0, loại liên kết EN10MB (Ethernet), kích thước chụp 262144 byte
22:42:37.136341 IP 10.0.1.200 > 10.0.1.1: ICMP echo request, id 22073, seq 1, độ dài 64
22:42:37.136478 IP 10.0.1.1 > 10.0.1.200: ICMP echo reply, id 22073, seq 1, độ dài 64
22:42:38.142240 IP 10.0.1.200 > 10.0.1.1: ICMP echo request, id 22073, seq 2, độ dài 64
22:42:38.142429 IP 10.0.1.1 > 10.0.1.200: ICMP echo reply, id 22073, seq 2, độ dài 64
Đầu ra của ping -v chỉ đơn giản là trống rỗng:
$ ping -v 10.0.1.1
PING 10.0.1.1 (10.0.1.1) 56(84) byte dữ liệu.
^C
--- Thống kê ping 10.0.1.1 ---
Truyền 22 gói, nhận 0 gói, mất gói 100%, thời gian 511ms
Mục duy nhất trong bảng ip là NAT:
# iptables-lưu -c
# Được tạo bởi iptables-save v1.8.2 vào Thứ bảy ngày 29 tháng 1 22:45:46 năm 2022
* nguyên
:CHẤP NHẬN TRƯỚC [1828405583:1847667077335]
:CHẤP NHẬN ĐẦU RA [10762322:981310704]
LÀM
# Hoàn thành vào Thứ 7 ngày 29 tháng 1 22:45:46 2022
# Được tạo bởi iptables-save v1.8.2 vào Thứ bảy ngày 29 tháng 1 22:45:46 năm 2022
*lọc
:CHẤP NHẬN ĐẦU VÀO [10597558:1212589593]
: CHẤP NHẬN VỀ PHÍA TRƯỚC [1782904005:1841102268241]
:CHẤP NHẬN ĐẦU RA [10762351:981313827]
LÀM
# Hoàn thành vào Thứ 7 ngày 29 tháng 1 22:45:46 2022
# Được tạo bởi iptables-save v1.8.2 vào Thứ bảy ngày 29 tháng 1 22:45:46 năm 2022
* tự nhiên
: CHẤP NHẬN TRƯỚC [29808561:4940456833]
:CHẤP NHẬN ĐẦU VÀO [2456738:231340403]
:CHẤP NHẬN ĐẦU RA [1168080:75403202]
: SAU CHẤP NHẬN [2829337:181352732]
[190:11400] -A POSTROUTING -s 10.1.2.0/24 -o wlp7s0 -j MASQUERADE
LÀM
# Hoàn thành vào Thứ 7 ngày 29 tháng 1 22:45:46 2022
