LinuxノートブックからLAN経由でローカルにホストされているVM(kvm)にアクセスしたいと思います。
仮想マシンをDNATしたいです。
ネットワーク
client <-- LAN 192.168.3.0/24 --> host <-- bridge 192.168.113.0/24 --> guest
所有者
- wlp3s0:192.168.3.221/24
- br0:192.168.113.1/24
net.ipv4.ip_forward = 1
- 足:
# bridge -d link
16: vnet5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 master br0 state forwarding priority 32 cost 100
hairpin off guard off root_block off fastleave off learning on flood on mcast_flood on bcast_flood on mcast_router 1 mcast_to_unicast off neigh_suppress off vlan_tunnel off isolated off locked off
- ルーティング:
default via 192.168.3.1 dev wlp3s0 proto dhcp src 192.168.3.221 metric 600
192.168.3.0/24 dev wlp3s0 proto kernel scope link src 192.168.3.221 metric 600
192.168.113.0/24 dev br0
- Netfilterルールからの抜粋:
table inet filter {
chain forward {
type filter hook forward priority 0; policy drop;
ct state established,related counter accept
ct state invalid counter drop
tcp dport 8080 counter log prefix "forward: " accept
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority dstnat
tcp dport 8080 counter log prefix "dnat: " dnat to 193.168.113.201:8080
}
chain postrouting {
type nat hook postrouting priority srcnat
iifname br0 oifname wlp3s0 counter masquerade
}
}
ゲスト
- enp1s0:192.168.113.201/24
- 路線:
default via 192.168.113.1 dev enp1s0 proto dhcp src 192.168.113.201 metric 100
192.168.113.0/24 dev enp1s0 proto kernel scope link src 192.168.113.201 metric 100
- ファイアウォールなし
- サービスリスニング0.0.0.0:8080
顧客
- 住所:192.168.3.2
テスト正常
- ホストからのゲストローピング(
ping -c 1 192.168.113.201
) curl -q http://192.168.113.201:8080
curl()ホストからカスタマーサービスへ- ゲストはインターネットにアクセスできます(
curl -q https://serverfault.com
)
質問
LAN()curl -q http://192.168.3.221:8080
の他のクライアントからサービスを呼び出すと、ゲストに接続できません。
ホストwlp3s0インターフェースのTcpdump:
11:10:54.063354 IP 192.168.3.2.43278 > 192.168.3.221.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0
11:10:54.063388 IP 192.168.3.2.43278 > 193.168.113.201.8080: Flags [S], seq 2985774913, win 64240, options [mss 1460,sackOK,TS val 525180874 ecr 0,nop,wscale 7], length 0
(配信とフィルタリングがトリガされると、システムログに「forward」と「dnat」の行が表示されます。)
ホストの br0 インターフェイスにパケットは表示されません。
tcpdumpの2行目を参照してください。ターゲットはオーバーライドされますが、wlp3s0インターフェイスにあります!
また、Wi-Fiの代わりに有線イーサネットを使用してテストしましたが、まったく同じ動作でした。
パケットがbr0を介してブリッジにルーティングされないのはなぜですか?
どんなアドバイスにも感謝します!
答え1
事前ルーティングルールにタイプミスがあります。dnat to 193.168.113.201:8080
変えるdnat to 192.168.113.201:8080
。