TL;DR 如果你發現 RHEL/CentOS 5 下用 iptables 做的 NAT 轉寄規則不管用,請用 iptables -L -nv 檢查一下 FORWARD 鏈裡的內容,如果裡面有一條直接轉到 RH-Firewall-1-INPUT 的規則,那麼你很有可能跟我們一樣被坑了。嘗試在 RH-Firewall-1-INPUT 鏈裡把目標連接埠開啟,那些規則應該就可以工作了。
公司的伺服器上因為種種原因做了不少 iptables NAT 規則,用於做連接埠映射。我們發現有的規則可以工作,有的則不然。但這些規則基本都長一個樣,除了連接埠和轉寄的目標 IP 各有不同以外。
我們的規則很簡單:
| 代碼如下 | 複製代碼 |
| -A PREROUTING -p tcp --dport 443 -j DNAT --to 192.168.1.2:8443 -A POSTROUTING -d 192.168.1.2 -p tcp --dport 8443 -j SNAT --to 192.168.1.1 |
|
就是把一台伺服器(192.168.1.1)上的 443 連接埠轉寄到另一台(192.168.1.2)的 8443 上而已。但我們發現它死活不工作。但別的連接埠(比如 80 轉到 8080)的類似規則又是可以的:
| 代碼如下 | 複製代碼 |
| -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.3:8080 -A POSTROUTING -d 192.168.1.3 -p tcp --dport 8080 -j SNAT --to 192.168.1.1 |
|
各種 Google 搜尋都沒找到答案,無奈只能仔細檢查下 iptables 的規則,結果發現了一個線索:我們的 8443 連接埠沒有開啟,而 8080 是開啟的!果斷嘗試把 8443 也給開啟,果然可以了。
不過問題是,為什麼 INPUT 規則會對 NAT 轉寄造成影響呢?按照 iptables 的工作方式,只有目的地址是原生包才會經過 INPUT 鏈,而轉寄的包只會經過 FORWARD 鏈。好吧,答案其實很簡單,怪我們沒看仔細。RHEL/CentOS 5 的 iptables 會建立一個名叫 RH-Firewall-1-INPUT 的鏈,並且把 INPUT 和 FORWARD 都轉到這條鏈上。
| 代碼如下 | 複製代碼 |
| *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [9418420:35897535679] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT #FORWARD 直接掛到 RH-Firewall-1-INPUT 上了 -A RH-Firewall-1-INPUT -i lo -j ACCEPT #......省略若干規則 -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited |
|
這種做法個人覺得很坑爹,轉寄的包管那麼多幹嘛,讓目標去判斷要不要 ACCEPT 就好,你就老老實實 FORWARD 嘛。果然在 RHEL/CentOS 6 以後的版本裡,這個 RH-Firewall-1-INPUT 被幹掉了。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
