linux – 为什么有些iptables DNAT规则在重启之前不起作用?

前端之家收集整理的这篇文章主要介绍了linux – 为什么有些iptables DNAT规则在重启之前不起作用?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我的iptables DNAT规则在重启之前不起作用.如果我重启我的服务器,所有规则都有效.

建筑的诠释:

数十台主机(发件人)将一些UDP数据包(特定端口9999上的单向)发送到我的Linux路由器.这个Linux路由器使用iptables将这些数据包转发到多个主机(接收器).

senderX 10.0.0.X ====>带iptables的Linux路由器====> receiverY 10.0.1.Y

linux路由器有两个网卡eth1 10.0.0.1/24(发件人方)和eth0 10.0.1.1/24(接收方).

iptables设置:

> ip_forwarding已激活
>所有默认策略都设置为ACCEPT
>每个发件人都有一个iptables规则,这是一个例子:

iptables -t nat -A PREROUTING -s 10.0.0.2 -i eth1 -j DNAT --to-destination 10.0.1.123

网络设置 :

ip addr show:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 54:9f:35:0a:16:38 brd ff:ff:ff:ff:ff:ff
    inet 10.0.1.1/24 brd 10.0.1.255 scope global eth0
    inet6 fe80::569f:35ff:fe0a:1638/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 54:9f:35:0a:16:3a brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global eth1
    inet6 fe80::569f:35ff:fe0a:163a/64 scope link
       valid_lft forever preferred_lft forever

症状:

添加一组规则后,某些规则不起作用.我可以通过tcpdump看到UDP数据包不再被路由,数据包被拒绝.

tcpdump -n -i eth1 host 10.0.0.2
tcpdump: verbose output suppressed,use -v or -vv for full protocol decode
listening on eth1,link-type EN10MB (Ethernet),capture size 65535 bytes
16:12:58.241225 IP 10.0.0.2.56859 > 10.0.0.1.9999: UDP,length 1464
16:12:58.241285 IP 10.0.0.1 > 10.0.0.2: ICMP 10.0.0.1 udp port 9999 unreachable,length 556

>如果我清除所有规则并在iptables中重新注入它们,那些无效的规则仍无效.
>如果我重新启动服务器,所有规则都可以正常工作.

分析完成:

添加了一条规则来记录一个不起作用的特定发件人:

iptables -t nat -A PREROUTING -s 10.0.0.2 -i eth1 -j LOG --log-prefix='PREROUTING LOG :'

但是这个规则没有记录任何东西.数据包即将到来,因为我在tcpdump中看到了这些数据包,但它们未被记录.同样在iptables中使用-v选项,我没有看到此规则的计数器增加.

如果我在停止工作之前应用相同的规则,我会有一些日志.

题 :

> iptables中的UDP转发是否有任何限制?
>我如何解决这个问题?

解决方法

您描述的症状与NAT规则和连接跟踪条目之间存在冲突时看到的症状相匹配.

例如,当数据包匹配时

-A PREROUTING -s 10.0.0.2 -i eth1 -j DNAT --to-destination 10.0.1.123

需要创建新的连接跟踪条目.这会将传入端的源和目标IP和端口元组映射到传出端的类似元组.

不存在与传入方匹配的现有连接跟踪条目,因为如果存在,则将使用它而不是规则.但是,一旦替换了元组的目标IP以构造传出侧的元组,元组可能与现有的连接跟踪条目冲突.

如果安装conntrack实用程序,则可以键入conntrack -L以查看现有连接跟踪条目的列表.该实用程序还具有仅列出符合特定条件的连接跟踪条目以及删除所选条目的功能.

如果这确实是您所面临的问题,那么删除有问题的连接跟踪条目将使问题消失.永久性修复通常涉及在两个方向上为数据包配置相关NAT规则,这样您始终可以获得所需的连接跟踪条目,即使第一个数据包恰好以与通常情况相反的方向发送.

猜你在找的Linux相关文章