Как правильно написать правила iptables для проброса и SNAT?

Question

[Drno]

Есть сервера, админкой у хостера выступает VM Cloud Director.
Выделено несколько IP адресов внешних, сейчас каждый из них переадресовывается с помощью NAT с Director на отдельную ВМ.

Что хочется - привязать IP к 1 ВМ.

Как выглядит сейчас -
В Director прописан DNAT + SNAT на каждый внешний адрес и адрес виртуалки
Пример DNAT 1.1.1.1 >> 10.13.39.2
Пример SNAT 10.13.39.2 >> 1.1.1.1

Далее мне надо на виртуалке получить это и переадресовать дальше, для примера сейчас так выглядит IPTABLES
iptables -t nat -A PREROUTING -p tcp --dport 443 -i ens160 -j DNAT --to 55.55.55.55:50000;
iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADE;

Я могу присвоить виртуалке несколько локальных IP адресов, например
10.13.39.2
10.13.39.3
10.13.39.4
10.13.39.5

И в Director переадресовать на эти IP трафик с внешних адресов
Но как тогда на виртуалке правильно прописать iptables ? потому что если я делаю просто masquerade, то инет ломается, т.к. видимо пакет должен уходить с того же IP. на который пришел...

Что хочу получить -
iptables -t nat -A PREROUTING -p tcp --dport 443 -s 10.13.39.2 -j DNAT --to 55.55.55.55:50000;
iptables -t nat -A PREROUTING -p tcp --dport 443 -s 10.13.39.3 -j DNAT --to 66.66.66.66:50000;
iptables -t nat -A PREROUTING -p tcp --dport 443 -s 10.13.39.4 -j DNAT --to 77.77.77.77:50000;
итд

Comments

[mureevms]

Крайне странно выглядит проброс портов из серой подсети на белый IPшники. Сдается мне тут надо обратиться в саппорт, вероятно вы идете не тем путем

[Drno]

mureevms, Вы про iptables?
Если да - то это нормальный вариант, когда сам сервис крутится на другом сервере, в другом хостинге.
А прокинуть его надо через этот хостинг, где я пишу iptables))

[Drno]

mureevms, если прочитаете повнимательней, увидите что на сервые ip трафик приходит с внешних))

[mureevms]

Те не менее странно НАТить трафик на белый адреса.

[Drno]

mureevms, ничего странного, если адрес сервера,до которого нужен доступ, не доступен из локации, в которой юзеры)

[mureevms]

Drno, это немного объясняет, спасибо за пояснение.

Answer 1

[Alexey Dmitriev]

1. Для редиректа http и https трафика на виртуальные машины проще использовать nginx в режиме reverse proxy и т.п. Можно поднять его на отдельной ВМ и редиректить оттуда.
2. MASQUERADE и SNAT работают ТОЛЬКО для пакетов, появившихся на виртуальной машине, никакого отношения к пакетам, пришедшим на виртуальную машину извне они не имеют. Если вы настраиваете доступ на сервисы на ВМ для клиентов снаружи через NAT - вам нужно открыть доступ только для PREDOUTING -j DNAT и ну и разрешить прохождение транзитного трафика в ядре и в таблице iptables FORWARD. SNAT здесь никак участвовать не будет.
3. MASQUERADE меняет адрес источника в заголовке уходящего с виртуальной машины пакета на адрес интерфейса, откуда он уходит наружу, и происходит это уже после принятия решения о маршрутизации.
4. Если вы хотите выдавать внешние адреса виртуальным машинам, то зачем вообще нужен NAT? По идее есть возможность создать виртуальный свитч, где будут находиться и сетевой интерфейс самого директора и сетевые интерфейсы ВМ

Comments

[Drno]

надо - переадресовать порты на другие сервера, на их внешние IP.
Был бы трафик http - я бы уже nginx поставил..)

Почему провайдер так делает в VM директор, а не назначает IP напрямую - я хз...

если я назначаю несколько локальных IP на 1 интерфейс и делаю на них проброс в админке провайдера - инет на виртуалке падает...

[Alexey Dmitriev]

Drno, значит что-то не так правилами. Попробуйте в SNAT вместо интерфейса указывать посеть локальных адресов через - s

[Drno]

Alexey Dmitriev, указывал. если Вы про локальные IP на машине. не помогает..
правда указывал на каждый IP, а не одним правилом /24 подсетку

[Alexey Dmitriev]

Drno, чудес не бывает. Нет доступа в интернет с машин - проверяйте маршрутизацию, SNAT и FORWARD.
Нет доступа к сервисам на ВМ - маршрутизацию, DNAT и forward.

[Drno]

Alexey Dmitriev, так я спрашиваю, что в моих правилах SNAT не так.
И как правильно прописать

[Alexey Dmitriev]

Drno, без схемы сети сложно понять, что у вас происходит.

[Drno]

Alexey Dmitriev, схема простая.
Провайдер использует VM cloud director.

Там внешние адреса, мапятся на локальные адреса виртуалко.
Но не в голом виде, а с помощью правил dst и snat

Задача - получить с этих внешних ip траф на виртуалку, и дальше спроесировать(с помощью iptables, тк это простой TCP трафик) на другой сервер в другой ДЦ.

Когда на каждый внешний IP привязана отдельная виртуалка - всё работает

Когда на 1 виртуалку привязывают несколько внешних адресов - всё ломается.

Вот и хочу понять, какие правила iptables мне надо сделать на виртуаке, чтоб ничего не ломалось…
Чтоб на каждый IP я мог получить трафик и независимо его переадресовать куда хочу