Почему нет доступа к виртуалке с другой виртуалки по внешнему ip или домену внутри сети?

На сервере две виртуальные машины (KVM) с адресами 192.168.202.2 и 192.168.202.3.
На машине 202.1 запущено несколько сервисов, слушающих на портах 50000-50010. Этой же машине ассоциирован субдомен two.baremetal.com.
Если проверить порты 50000-50010 со стороннего клиента вне сети 192.168.0.0, то порты открыты, всё ок.

Но при обращении с машины 202.3 либо внешнему ip сервера, либо по субдомену one.baremetal.com, порты оказываются закрыты. Т.е. попасть на соседнюю виртуальную машину в той же подсети я могу только по адресу 192.168.202.2.

Как исправить конфигурацию, чтобы 202.3 могла обращаться к 202.2 не только по внутреннему адресу, но также и по субдомену и внешнему ip?

Конфиги:
На сервере в файле зоны (bind) субдомен ссылается на внешний ip
one.baremetal.com. IN A 12.34.56.78
Пробовал указать 192.168.202.2, но тогда субдомен не резолвится из внешней сети.

Также на сервере в конфиге nginx (как прокси):
server {
  server_name one.baremetal.com;
  location / {
    proxy_pass http://192.168.202.2:50010;  # тут веб-сервер
    proxy_set_header Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_cookie_domain www.$host $host;
    }

Пробовал proxy_pass 192.168.202.2 без указания порта — не работает.

На сервере при запуске виртуалки 202.2, в iptables добавляется правило маршрутизации
/sbin/iptables -t nat -I PREROUTING -p tcp --dport 50000:50010 -j DNAT --to 192.168.202.2:50000:50010


60f58da677395847409024.png
  • Вопрос задан
  • 95 просмотров
Решения вопроса 1
@MechanID
Админ хостинг провайдера
Потому что так работает nat с port forwarding.
Что делать ?
а) для внутренней сети оргназовать резолвинг домена в серые ип чтобы трафик не шол через nat
или
б) настраивать hairpin NAT на роутере
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Drno
Так а виртуалка 202.2 вообще правильно домен резолвит? Кто у неё dns server?

А насчет зайти по внешнему ip - виртуалка 202.2 вообще имеет выход в инет? Тот же гугл пингуется?
Ну и насколько я знаю нужен обратный nat на сервере, для захода из нутри по внешке
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы