Почему нет доступа к виртуалке с другой виртуалки по внешнему ip или домену внутри сети?

Question

[Vitaly]

На сервере две виртуальные машины (KVM) с адресами 192.168.202.2 и 192.168.202.3.
На машине 202.1 запущено несколько сервисов, слушающих на портах 50000-50010. Этой же машине ассоциирован субдомен two.baremetal.com.
Если проверить порты 50000-50010 со стороннего клиента вне сети 192.168.0.0, то порты открыты, всё ок.

Но при обращении с машины 202.3 либо внешнему ip сервера, либо по субдомену one.baremetal.com, порты оказываются закрыты. Т.е. попасть на соседнюю виртуальную машину в той же подсети я могу только по адресу 192.168.202.2.

Как исправить конфигурацию, чтобы 202.3 могла обращаться к 202.2 не только по внутреннему адресу, но также и по субдомену и внешнему ip?

Конфиги:
На сервере в файле зоны (bind) субдомен ссылается на внешний ip
one.baremetal.com. IN A 12.34.56.78
Пробовал указать 192.168.202.2, но тогда субдомен не резолвится из внешней сети.

Также на сервере в конфиге nginx (как прокси):

server {
  server_name one.baremetal.com;
  location / {
    proxy_pass http://192.168.202.2:50010;  # тут веб-сервер
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_cookie_domain www.$host $host;
    }

Пробовал proxy_pass 192.168.202.2 без указания порта — не работает.

На сервере при запуске виртуалки 202.2, в iptables добавляется правило маршрутизации

/sbin/iptables -t nat -I PREROUTING -p tcp --dport 50000:50010 -j DNAT --to 192.168.202.2:50000:50010

Answer 1

[Владимир]

Потому что так работает nat с port forwarding.
Что делать ?
а) для внутренней сети оргназовать резолвинг домена в серые ип чтобы трафик не шол через nat
или
б) настраивать hairpin NAT на роутере

Comments

[Vitaly]

Первый вариант, это просто дописать в /etc/hosts ?
192.168.202.2 two.baremetal.com

[hint000]

Виталий Соколов, не совсем, https://www.google.com/search?q=split+horizon+dns это нормальный метод, но на крайний случай можно и в /etc/hosts

[Vitaly]

hint000, Спасибо

Я добавил в iptables такое правило, всё заработало.

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 192.168.202.2 -p tcp --dport 50000:50010 -j MASQUERADE

[Drno]

Виталий Соколов, вывод - виртуалка не имела выхода в инет

[Vitaly]

Drno, виртуалка имела выход в инет, вы же уже спрашивали.
При старте в iptables добавляется правило типа

/sbin/iptables -I FORWARD -o virbr-n -d 192.168.202.3 -j ACCEPT

Answer 2

[Drno]

Так а виртуалка 202.2 вообще правильно домен резолвит? Кто у неё dns server?

А насчет зайти по внешнему ip - виртуалка 202.2 вообще имеет выход в инет? Тот же гугл пингуется?
Ну и насколько я знаю нужен обратный nat на сервере, для захода из нутри по внешке

Comments

[Vitaly]

Пардон, я для упрощения поменял нумерацию виртуалок, но сделал это неправильно.
В общем, нумерацию надо прибавить на 1.

Обе виртуалки имеют выход в интернет, в resolv.conf указан 192.168.202.1 (виртуальный шлюз). Заменил его на внешний ip-адрес сервера, но не помогло.

Если с 202.3 я обращаюсь по внешнему ip сервера и проверяю порт 50000, то он закрыт
Я думаю, что проблема не в DNS, потому что по ip проблема сохраняется

[Vitaly]

nmap two.baremetal.com -p 80

PORT STATE SERVICE
80/tcp open http

Но порты 50000-50010 при этом "filtered"