TL;DR 如果你發現 RHEL/CentOS 5 下用 iptables 做的 NAT 轉寄規則不管用,請用 iptables -L -nv 檢查一下 FORWARD 鏈裡的內容,如果裡面有一條直接轉到 RH-Firewall-1-INPUT 的規則,那麼你很有可能跟我們一樣被坑了。嘗試在 RH-Firewall-1-INPUT 鏈裡把目標連接埠開啟,那些規則應該就可以工作了。
公司的伺服器上因為種種原因做了不少 iptables NAT 規則,用於做連接埠映射。我們發現有的規則可以工作,有的則不然。但這些規則基本都長一個樣,除了連接埠和轉寄的目標 IP 各有不同以外。
我們的規則很簡單:
代碼如下 |
複製代碼 |
-A PREROUTING -p tcp --dport 443 -j DNAT --to 192.168.1.2:8443 -A POSTROUTING -d 192.168.1.2 -p tcp --dport 8443 -j SNAT --to 192.168.1.1
|
就是把一台伺服器(192.168.1.1)上的 443 連接埠轉寄到另一台(192.168.1.2)的 8443 上而已。但我們發現它死活不工作。但別的連接埠(比如 80 轉到 8080)的類似規則又是可以的:
代碼如下 |
複製代碼 |
-A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.3:8080 -A POSTROUTING -d 192.168.1.3 -p tcp --dport 8080 -j SNAT --to 192.168.1.1
|
各種 Google 搜尋都沒找到答案,無奈只能仔細檢查下 iptables 的規則,結果發現了一個線索:我們的 8443 連接埠沒有開啟,而 8080 是開啟的!果斷嘗試把 8443 也給開啟,果然可以了。
不過問題是,為什麼 INPUT 規則會對 NAT 轉寄造成影響呢?按照 iptables 的工作方式,只有目的地址是原生包才會經過 INPUT 鏈,而轉寄的包只會經過 FORWARD 鏈。好吧,答案其實很簡單,怪我們沒看仔細。RHEL/CentOS 5 的 iptables 會建立一個名叫 RH-Firewall-1-INPUT 的鏈,並且把 INPUT 和 FORWARD 都轉到這條鏈上。
代碼如下 |
複製代碼 |
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [9418420:35897535679] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT #FORWARD 直接掛到 RH-Firewall-1-INPUT 上了 -A RH-Firewall-1-INPUT -i lo -j ACCEPT #......省略若干規則 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
|
這種做法個人覺得很坑爹,轉寄的包管那麼多幹嘛,讓目標去判斷要不要 ACCEPT 就好,你就老老實實 FORWARD 嘛。果然在 RHEL/CentOS 6 以後的版本裡,這個 RH-Firewall-1-INPUT 被幹掉了。