수신 패킷이 실행 중인 서비스에 도달하기 전에 소스 IP를 변경하려면 어떻게 해야 합니까?
관리자와 서버라는 두 개의 어플라이언스가 VPN을 통해 연결되어 있고 둘 사이에 NAT가 있습니다.
관리자 인터페이스 IP: A 서버 인터페이스 IP: B
관리자는 NAT IP Y를 사용하여 서버에 연결하고 관리자가 연결할 때 서버는 IP X를 확인합니다.
패킷이 소스 IP X와 함께 도착할 때 이를 IP로 변경하는 방식으로 서버에서 iptables를 어떻게 설정합니까?
잘 설계된 네트워크와 제품에서는 이것이 문제가 되지 않을 것이라는 것을 알고 있지만 소프트웨어 측면에서 수정될 때까지 당분간 해결 방법이 필요합니다.
지금까지 아래 iptables 규칙은 도움이 되지 않았습니다.
iptables -t nat -A POSTROUTING -s <X> -o eth0 -j SNAT --to <A>
도움을 주시면 감사하겠습니다.
답변1
NAT는 "요청한" 서비스에 따라 달라집니다.iptables그리고에 의해 제공되는콘트랙하위 시스템. SNAT는 라우팅 결정이 내려지기 전에는 사용할 수 없지만 패킷이 호스트로 라우팅되도록 선택한 후에는 계속 사용할 수 있습니다.nat/입력체인에 설명된 대로매뉴얼 페이지:
SNAT이 대상은 nat 테이블,
POSTROUTING및INPUT체인, 그리고 해당 체인에서만 호출되는 사용자 정의 체인. [...]
서버가 트래픽을 수신하는 동안(더 이상 라우팅하지 않음), 인터페이스를 통해 서버의 IP 대상 주소 <B>의 IP 소스 주소 <X>에서 패킷을 수신할 때eth0, 대신 다음을 사용하여 소스 주소 <A>(원래 IP 소스 주소였지만 이 정보는 손실됨)로 표시되도록 SNAT할 수 있습니다.
iptables -t nat -A INPUT -s <X> -d <B> -i eth0 -j SNAT --to <A>
또는 더 간단한 버전을 사용하면 다음과 같습니다.
iptables -t nat -A INPUT -s <X> -j SNAT --to <A>
(실제 서비스에 도달한 경우 XXXX) 와 같은 더 많은 제한 사항을 추가할 수 있으며 -p tcp --dport XXXX아마도 다음과 같이 해야 할 것입니다. 아래에 설명된 문제가 발생하면 VPN을 통해 시스템에 액세스하지 못할 수도 있습니다. 백업 액세스 방법을 마련하거나 확실하지 않은 한 원격으로 수행하지 마세요.
라우팅으로 인해 위의 규칙으로는 충분하지 않을 수 있습니다. IP 주소 <A>가 서버에 대한 알려진 경로에 없는 경우(이는 서버에 IP 주소가 없는 경우에만 발생함)기본노선). 시스템은 이 대상으로 패킷(IP 또는 ARP)을 다시 보내지 않지만(응답은 SNAT 처리되지 않음) SNAT가 발생했는지 알지 못하는 라우팅 스택이 올바르게 처리하려면 해당 경로가 여전히 필요합니다.
그렇다면 만약iptables위의 규칙으로는 충분하지 않습니다(아마도 서버에 기본 경로가 없는 경우). 다음을 추가할 수 있습니다.
ip route add <A>/32 dev eth0