înregistrare Logare
Puncte:0
nobody avatar Server

nftables natting cu IP sursă

drapel in
nobody

Am un server într-un centru de date care este un server Proxmox. Pe server (unul dintre multele, sunt într-un cluster Proxmox) găzduiesc diverse VM-uri.

Serviciile de pe VM-uri sunt expuse prin iptables (folosind ufw) natting, ca în următorul exemplu:

-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 21 -j DNAT --to-destination <local_ip>:<port>
-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 23 -j DNAT --to-destination <local_ip>:<port>
-A PREROUTING -i eno1 -p tcp -d <public_ip> --dport 10090:10100 -j DNAT --to-destination <local_ip>:<port>

VM-urile sunt conectate folosind un bridge virtual, cum ar fi documentația stărilor Proxmox. (Documente Proxmox)Acest lucru funcționează. Cu toate acestea, există un dezavantaj. VM nu primește IP-ul sursă al părții care se conectează. Acest lucru îmi oferă opțiuni limitate privind filtrarea IP, înregistrarea pe diverse alte VM-uri.

Acum mă uit la o soluție similară pentru nftables (care va înlocui, sau are, iptables).

Există o modalitate de a configura regulile de natting sau de redirecționare care să permită IP-ului sursă să trimită către VM?

140
0 + 0
Puncte:1
setenforce 1 avatar Server
drapel us
setenforce 1

Puteți face aceleași reguli în nftables astfel:

table inet nat {
    preroutare în lanț {
        tip nat hook prerouting priority dstnat;
        iif eno1 ip daddr { <public_ip> } tcp dport 21 dnat <local_ip>:<port>
        iif eno1 ip daddr { <public_ip> } tcp dport 23 dnat <local_ip>:<port>
        iif eno1 ip daddr { <public_ip> } tcp dport 10090-10100 dnat <local_ip>:<port>
    }
}

Deși, Destination NAT nu rescrie IP-ul sursă, așa că ar trebui să vedeți IP-ul sursă real. Dacă nu puteți, este posibil să aveți o regulă NAT sursă în tabelul NAT de postrouting pe care doriți să o ștergeți. Puteți verifica cu iptables -t nat -L.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.