ネットワーク

ネットワーク

LinuxノートブックからLAN経由でローカルにホストされているVM(kvm)にアクセスしたいと思います。

仮想マシンをDNATしたいです。

ネットワーク

client  <-- LAN 192.168.3.0/24 --> host <-- bridge 192.168.113.0/24 --> guest

所有者

  • wlp3s0:192.168.3.221/24
  • br0:192.168.113.1/24
  • net.ipv4.ip_forward = 1
  • 足:
# bridge -d link
16: vnet5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 100 
    hairpin off guard off root_block off fastleave off learning on flood on mcast_flood on bcast_flood on mcast_router 1 mcast_to_unicast off neigh_suppress off vlan_tunnel off isolated off locked off
  • ルーティング:
default via 192.168.3.1 dev wlp3s0 proto dhcp src 192.168.3.221 metric 600 
192.168.3.0/24 dev wlp3s0 proto kernel scope link src 192.168.3.221 metric 600 
192.168.113.0/24 dev br0
  • Netfilterルールからの抜粋:
table inet filter {
  chain forward {
    type filter hook forward priority 0; policy drop;
    ct state established,related counter accept
    ct state invalid counter drop
    tcp dport 8080 counter log prefix "forward: " accept
  }
}

table ip nat {
  chain prerouting {
    type nat hook prerouting priority dstnat
    tcp dport 8080 counter log prefix "dnat: " dnat to 193.168.113.201:8080
  }
  chain postrouting {
    type nat hook postrouting priority srcnat
    iifname br0 oifname wlp3s0 counter masquerade
  }
}

ゲスト

  • enp1s0:192.168.113.201/24
  • 路線:
default via 192.168.113.1 dev enp1s0 proto dhcp src 192.168.113.201 metric 100 
192.168.113.0/24 dev enp1s0 proto kernel scope link src 192.168.113.201 metric 100
  • ファイアウォールなし
  • サービスリスニング0.0.0.0:8080

顧客

  • 住所:192.168.3.2

テスト正常

  • ホストからのゲストローピング(ping -c 1 192.168.113.201
  • curl -q http://192.168.113.201:8080curl()ホストからカスタマーサービスへ
  • ゲストはインターネットにアクセスできます(curl -q https://serverfault.com

質問

LAN()curl -q http://192.168.3.221:8080の他のクライアントからサービスを呼び出すと、ゲストに接続できません。

ホストwlp3s0インターフェースのTcpdump:

11:10:54.063354 IP 192.168.3.2.43278 > 192.168.3.221.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0
11:10:54.063388 IP 192.168.3.2.43278 > 193.168.113.201.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0

(配信とフィルタリングがトリガされると、システムログに「forward」と「dnat」の行が表示されます。)

ホストの br0 インターフェイスにパケットは表示されません。

tcpdumpの2行目を参照してください。ターゲットはオーバーライドされますが、wlp3s0インターフェイスにあります!

また、Wi-Fiの代わりに有線イーサネットを使用してテストしましたが、まったく同じ動作でした。

パケットがbr0を介してブリッジにルーティングされないのはなぜですか?

どんなアドバイスにも感謝します!

答え1

事前ルーティングルールにタイプミスがあります。dnat to 193.168.113.201:8080変えるdnat to 192.168.113.201:8080

関連情報