패킷이 IP 테이블을 통과하지 않습니다. 외부 IP에서 시작되는 경우 포스트라우팅

tag-icon tag-icon iptables routing
패킷이 IP 테이블을 통과하지 않습니다. 외부 IP에서 시작되는 경우 포스트라우팅

로컬 액세스만 원하는 내부 장치에 대한 인터넷 트래픽을 반영하려고 합니다. DMZ에 이 내부 장치에 대한 DNAT 트래픽을 시도하는 호스트가 있고 SNAT가 있으므로 인터넷 경로가 필요하지 않습니다.

테스트에서는 로컬 컴퓨터에서 이 프록시 호스트로 DNAT/SNAT을 수행하고 내부 장치의 리소스에 액세스할 수 있습니다. 그러나 라우터의 포트에 액세스할 때 tcpdump를 통해 프록시 호스트에 도착하는 요청을 볼 수 있고 iptables DNAT 규칙 카운터가 증가하지만 연결이 이루어지지 않는 것을 볼 수 있습니다. 더 많은 로컬 테스트에서는 DNAT 및 SNAT 규칙 카운터가 모두 증가하지만 외부 트래픽에서는 DNAT 카운터만 증가합니다.

프록시 호스트는 이 목적으로만 가동되었으며 다른 서비스는 없습니다. 두 개의 IP .254 및 .253이 있는 하나의 인터페이스가 있습니다. 들어오는 트래픽은 .254로 와야 하며 내부 장치로 이동하는 동안 .253에서 SNAT되어야 합니다. 커널 IPv4 전달도 활성화됩니다.

다음은 내 iptables 구성입니다.

# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*filter
:INPUT ACCEPT [32:4832]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14:1016]
-A INPUT -p tcp -m tcp --dport 443 -j MARK --set-mark 7
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i admin -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i admin -p udp -m state --state NEW -m udp --dport 161 -j ACCEPT
-A INPUT -i local -p tcp -m state --state NEW -m tcp --dport 5308 -j ACCEPT
-A INPUT -i admin -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
-A FORWARD -d 10.254.254.1/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -mm
 tcp --dport 443 -j ACCEPT
-A FORWARD -j ACCEPT
-A INPUT -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Sun Jun 22 22:49:18 2014
# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*mangle
:PREROUTING ACCEPT [73:6562]
:INPUT ACCEPT [33:4290]
:FORWARD ACCEPT [18:972]
:OUTPUT ACCEPT [18:1408]
:POSTROUTING ACCEPT [27:1624]
-A INPUT -s 173.214.161.60 -j MARK --set-xmark 0x6/0xffffffff
-A FORWARD -s 173.214.161.60 -j MARK --set-xmark 0x5/0xffffffff
-A POSTROUTING -s 173.214.161.60 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -s 173.214.161.60 -j MARK --set-xmark 0x3/0xffffffff
-A OUTPUT -s 173.214.161.60 -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Sun Jun 22 22:49:18 2014
# Generated by iptables-save v1.4.7 on Sun Jun 22 22:49:18 2014
*nat
:PREROUTING ACCEPT [31:3139]
:POSTROUTING ACCEPT [14:1016]
:OUTPUT ACCEPT [14:1016]
-A PREROUTING -d 10.254.254.254/32 -i dmz -j DNAT --to-destination 10.254.254.2
-A POSTROUTING -o dmz -j SNAT --to-source 10.254.254.253
COMMIT
# Completed on Sun Jun 22 22:49:18 2014

관련 정보