Frage
Welchen Effekt hat es, wenn ich die folgenden Bedingungen für eine iptable-Regel verwende? Ist das dasselbe, als würde ich eine beliebige Verbindung angeben, die auf mich selbst abzielt?
! -d 127.0.0.0/8 -p tcp -m addrtype --dst-type LOCAL
Hintergrund
Genauer gesagt verwende ich es, um Ports auf meinem Host (mit öffentlicher IP, sagen wir 150.200.30.40) auf einen meiner LXC-Container (mit IP 10.0.3.202) umzuleiten. Mir scheint, dass diese Regeln für den an die öffentliche IP-Adresse meines Hosts adressierten Datenverkehr gleichwertig sind.
## IPTABLE RULE FOR INCOMING CONNECTIONS??
iptables -t nat -A PREROUTING ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -p tcp --dport 2222 -j DNAT --to-destination 10.0.3.202:22
## EQUIVALENT RULE?? (for connections directed at 150.200.30.40)
iptables -t nat -A PREROUTING -d 150.200.30.40 -p tcp --dport 2222 -j DNAT --to-destination 10.0.3.202:22
Antwort1
Es gibt Fälle, in denen diese beiden nicht identisch sind. Hier ist der Grund (ich bespreche hier keine anderen Übereinstimmungen wie Protokoll und Port):
- Die erste Regel trifft zu, wenn das Paket an eine lokale Adresse gerichtet ist (ausschließlich des Bereichs 127.0.0.0).
- Die zweite Regel trifft zu, wenn das Paket für eine bestimmte IP-Adresse bestimmt ist (dieser Maschine zugewiesen, wie Sie erwähnten).
Sie sind identisch, wenn dieser Maschine nur eine Adresse zugewiesen ist, nämlich 150.200.30.40. Beide sind übereinstimmende Pakete, die an eine lokale Adresse gerichtet sind, die nicht dem Bereich 127.0.0.0 entspricht.
Sie unterscheiden sich, wenn einer beliebigen Schnittstelle mindestens eine Adresse zugewiesen ist, die nicht die erwähnte öffentliche IP ist (und natürlich ausgenommen ist der spezielle private Bereich 127.0.0.0).
Wenn die angegebene öffentliche IP-Adresse nicht diesem Computer zugewiesen ist, handelt es sich mit Sicherheit um unterschiedliche IP-Adressen.