Puncte:0

XCP-NG Single NIC MASQUERADE reguli iptable Porturile nu redirecționează doar traficul de rețea de bază

drapel cn

Am o problemă la obținerea de porturi pentru a redirecționa către VM-uri prin regulile iptable MASQUERADE. Am avut asta lucrând pe aceleași servere cu Proxmox. Dar acum cu XCP-NG nu pot face asta să funcționeze. Am făcut o dată în trecut pe unul dintre aceste servere. Dar nu am reușit să o reproduc din nou. Conexiunea la rețea pentru ieșire și obținerea de actualizări și cererea http/https pe VM funcționează foarte bine.Pur și simplu nu pot face ca porturile să redirecționeze către VM-urile VoyOs/Pfsense, astfel încât să le pot transmite VM-urilor interne.

Pe scurt, pot trimite rețeaua la VM-urile, dar nu pot face ca porturile să redirecționeze.

Am două servere care rulează ambele XCP-NG, dar unul rulează VoyOS și celălalt OPNsense:

  • XCP-NG: 8.2
  • OPNsense: 21.7.1
  • VoyOS: Ultimul

Am urmat aceste ghiduri:

xenserver-single-ip-howto

setarea-gateway-ul-folosind-iptables-și-rută-pe-linux

creați-rețea-privată-punte-proxmox-cu-nat

xen-gazdă-și-oaspeți-sharing-același-ip

Harta rețelei

               - Interfata de management
NIC 0 --> xenbr0                                                 
               - MASQUERADE la xenbr1 (10.0.0.254) --> Wan- VoyOs/Pfsense (10.0.0.2) --> Lan Internal (10.0.1.1) --> VM-uri (10.0.1.x)
                                                             

Încercat:

iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o xenbr0 -j MASQUERADE

iptables -A PREROUTING -t nat -p tcp -i xenbr0 -d XXX.XXX.XXX.XX --dport 2727 -j DNAT --to 10.0.0.2:2727

și eliminând -d XXX.XXX.XXX.XX adresă IP externă

iptables -A PREROUTING -t nat -p tcp -i xenbr0 --dport 2727 -j DNAT --to 10.0.0.2:2727 

Apoi am eliminat acele reguli și am încercat:

iptables -I FORWARD 1 -i xenbr1 -j ACCEPT

iptables -t nat -A POSTROUTING -o xenbr0 -j MASQUERADE

Și în sfârșit am încercat:

iptables --append FORWARD --in-interface xenbr1 -j ACCEPT
iptables -D FORWARD --in-interface xenbr1 -j ACCEPT

Reguli pentru tabele IP

# iptables --list-rules
-P ACCEPT INTRARE
-P ACCEPTĂ ÎN ÎNTÂMPRE
-P ACCEPT IEȘIRE
-N RH-Firewall-1-INPUT
-N xapi_nbd_input_chain
-N xapi_nbd_output_chain
-A INPUT -p tcp -m tcp --dport 10809 -j xapi_nbd_input_chain
-A INTRARE -p gre -j ACCEPT
-A INTRARE -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A IEȘIRE -p tcp -m tcp --sport 10809 -j xapi_nbd_output_chain
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type orice -j ACCEPT
-A RH-Firewall-1-INPUT -i xenapi -p udp -m udp --dport 67 -j ACCEPT
-A RH-Firewall-1-INPUT -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m conntrack --ctstate NOU -m udp --dport 694 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m conntrack --ctstate NOU -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m conntrack --ctstate NOU -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m conntrack --ctstate NOU -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 21064 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m multiport --dports 5404,5405 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-cu icmp-host-interzis
-A xapi_nbd_input_chain -j REJECT --reject-with icmp-port-unreachable
-A xapi_nbd_output_chain -j REJECT --reject-with icmp-port-unreachable

tabele IP

# iptables -L && iptables -t nat -L
INTRARE în lanț (politica ACCEPTĂ)
target prot opt ​​sursă destinație
xapi_nbd_input_chain tcp -- oriunde oriunde tcp dpt:nbd
ACCEPT gre -- oriunde oriunde
RH-Firewall-1-INPUT all -- oriunde oriunde
Lanț FORWARD (politica ACCEPT)
target prot opt ​​sursă destinație
RH-Firewall-1-INPUT all -- oriunde oriunde
Ieșire în lanț (politica ACCEPT)
target prot opt ​​sursă destinație
xapi_nbd_output_chain tcp -- oriunde oriunde tcp spt:nbd
Lanț RH-Firewall-1-INPUT (2 referințe)
target prot opt ​​sursă destinație
ACCEPT pe toate -- oriunde oriunde
ACCEPT icmp -- oriunde oriunde icmp orice
ACCEPT udp -- oriunde oriunde udp dpt:bootps
ACCEPTĂ toate -- oriunde oriunde ctstate RELATED,STABLISHED
ACCEPT udp -- oriunde oriunde ctstate NOU udp dpt:ha-cluster
ACCEPT tcp -- oriunde oriunde ctstate NOU tcp dpt:ssh
ACCEPT tcp -- oriunde oriunde ctstate NOU tcp dpt:http
ACCEPT tcp -- oriunde oriunde ctstate NOU tcp dpt:https
ACCEPT tcp -- oriunde oriunde tcp dpt:21064
ACCEPT udp -- oriunde oriunde multiport dports hpoms-dps-lstn,netsupport
REJECT all -- oriunde oriunde respinge-cu icmp-gazdă-interzis
Lanț xapi_nbd_input_chain (1 referințe)
target prot opt ​​sursă destinație
REJECT all -- oriunde oriunde respinge-cu icmp-port-inaccesibil
Lanț xapi_nbd_output_chain (1 referințe)
target prot opt ​​sursă destinație
REJECT all -- oriunde oriunde respinge-cu icmp-port-inaccesibil
PRERUUTARE în lanț (politica ACCEPTĂ)
target prot opt ​​sursă destinație
DNAT tcp -- oriunde oriunde tcp dpt:mgcp-callagent to:10.0.0.2:2727
INTRARE în lanț (politica ACCEPTĂ)
target prot opt ​​sursă destinație
Ieșire în lanț (politica ACCEPT)
target prot opt ​​sursă destinație
POSTOUTING în lanț (politica ACCEPT)
target prot opt ​​sursă destinație
MASQUERADE toate -- 10.0.0.0/24 oriunde

/etc/sysconfig/iptables

# cat /etc/sysconfig/iptables
# Generat de iptables-save v1.4.21 pe Luni, 16 august 20:14:40 2021
*filtru
:INPUT ACCEPT [0:0]
: FORWARD ACCEPT [0:0]
: ACCEPT IEȘIRE [6179:9587238]
:RH-Firewall-1-INPUT - [0:0]
:xapi_nbd_input_chain - [0:0]
:xapi_nbd_output_chain - [0:0]
-A INPUT -p tcp -m tcp --dport 10809 -j xapi_nbd_input_chain
-A INTRARE -p gre -j ACCEPT
-A INTRARE -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A IEȘIRE -p tcp -m tcp --sport 10809 -j xapi_nbd_output_chain
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type orice -j ACCEPT
-A RH-Firewall-1-INPUT -i xenapi -p udp -m udp --dport 67 -j ACCEPT
-A RH-Firewall-1-INPUT -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m conntrack --ctstate NOU -m udp --dport 694 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m conntrack --ctstate NOU -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m conntrack --ctstate NOU -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m conntrack --ctstate NOU -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 21064 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m multiport --dports 5404,5405 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-cu icmp-host-interzis
-A xapi_nbd_input_chain -j REJECT --reject-with icmp-port-unreachable
-A xapi_nbd_output_chain -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Finalizat luni, 16 august 20:14:40 2021
# Generat de iptables-save v1.4.21 pe Luni, 16 august 20:14:40 2021
*nat
:ACCEPTAREA PRE-ROUTARE [5:322]
:INPUT ACCEPT [3:164]
: ACCEPT IEȘIRE [1:73]
: POSTROUTING ACCEPT [1:73]
-A PREROUTING -i xenbr0 -p tcp -m tcp --dport 2727 -j DNAT --to-destination 10.0.0.2:2727
-A POSTROUTING -s 10.0.0.0/24 -o xenbr0 -j MASQUERADE
COMMIT
# Finalizat luni, 16 august 20:14:40 2021

Ifconfig

# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        eter 78:2b:cb:3c:81:65 txqueuelen 1000 (Ethernet)
        Pachete RX 24705 octeți 3641727 (3,4 MiB)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 47612 octeți 37970921 (36,2 MiB)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

eth1: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
        eter 78:2b:cb:3c:81:66 txqueuelen 1000 (Ethernet)
        Pachete RX 0 octeți 0 (0,0 B)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 0 octeți 0 (0,0 B)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
        inet 127.0.0.1 netmask 255.0.0.0
        loop txqueuelen 1000 (Loopback local)
        Pachete RX 5951 octeți 33860750 (32,2 MiB)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 5951 octeți 33860750 (32,2 MiB)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

vif1.0: flags=4291<UP,BROADCAST,RUNNING,NOARP,MULTICAST> mtu 1500
        eter fe:ff:ff:ff:ff:ff txqueuelen 32 (Ethernet)
        Pachete RX 6 octeți 444 (444,0 B)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 0 octeți 0 (0,0 B)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

vif1.1: flags=4291<UP,BROADCAST,RUNNING,NOARP,MULTICAST> mtu 1500
        eter fe:ff:ff:ff:ff:ff txqueuelen 32 (Ethernet)
        Pachete RX 1442 octeți 95984 (93,7 KiB)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 1336 octeți 143058 (139,7 KiB)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

xapi0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        ether be:16:43:65:a2:4f txqueuelen 1000 (Ethernet)
        Pachete RX 6 octeți 444 (444,0 B)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 0 octeți 0 (0,0 B)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

xenbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet XXX.XXX.XXX.XX masca de rețea 255.255.255.252 difuzat XXX.XXX.XXX.XX
        eter 78:2b:cb:3c:81:65 txqueuelen 1000 (Ethernet)
        Pachete RX 23841 octeți 3101836 (2,9 MiB)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 33197 octeți 36975647 (35,2 MiB)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

xenbr1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet 10.0.0.254 netmask 255.255.255.0 difuzare 10.0.0.255
        eter 78:2b:cb:3c:81:66 txqueuelen 1000 (Ethernet)
        Pachete RX 1442 octeți 95984 (93,7 KiB)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 1336 octeți 143058 (139,7 KiB)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

/etc/sysctl.conf

# setările sysctl sunt definite prin fișiere în
# /usr/lib/sysctl.d/, /run/sysctl.d/ și /etc/sysctl.d/.
#
# Setările furnizorilor se află în /usr/lib/sysctl.d/.
# Pentru a suprascrie un întreg fișier, creați un fișier nou cu același în
# /etc/sysctl.d/ și puneți noi setări acolo. A trece peste
# doar setări specifice, adăugați un fișier cu un lexical mai târziu
# nume în /etc/sysctl.d/ și puneți noi setări acolo.
#
# Pentru mai multe informații, consultați sysctl.conf(5) și sysctl.d(5).
net.ipv4.ip_forward = 1

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.