Перенаправлять трафик на другой интерфейс машины?

Question

[Thiago Alvarez]

Доброго дня.
Суть такая, необходимо форвардить приходящий SIP/RTP трафик с основного интерфейса ВМ ens192 на виртуальный созданный вручную ens100.
Для тестирования пытаюсь настроить форвардинг только icmp из ens192 в ens100, пока безуспешно.
1) интерфейс создан командой:

nmcli connection add type macvlan dev ens192 ifname ens100 mode bridge ethernet.cloned-mac-address 00:50:56:95:19:67 ipv4.method manual ipv4.addresses 1.1.1.1

2) forwarding enabled net.ipv4.ip_forward = 1
3)

firewall-cmd --zone=public --add-masquerade --permanent

4)

firewall-cmd --zone=public --add-forward --permanent

5) add rule for icmp

firewall-cmd --zone=public --add-protocol=icmp --permanent

6) firewall-cmd --reload
7) firewall-cmd --list-all

public (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: ens100 ens192
  sources:
  services: cockpit dhcpv6-client ssh zabbix-agent zabbix-server
  ports: 8443/tcp
  protocols: icmp
  forward: yes
  masquerade: yes
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

8) ping с другой машины на айпи ens192, icmp на интерфейс ens192 приходят, но на ens100 нет.
Подскажите, что не правильно?
Так же пробовал создавать tap и dummy интерфейсы, результат такой же.

Comments

[Евгений]

1.1.1.1 смените на адрес в своей сети.
Вам мешает default gateway чтобы пинговать 1.1.1.1 на Вашей внутренней машине.

[Thiago Alvarez]

Евгений, создал интерфейс в другой сети
nmcli connection add type macvlan ifname ens0 con-name ens0 dev ens192 mode bridge
nmcli connection modify ens0 ipv4.method manual ipv4.addresses 10.10.10.60/24
nmcli connection up ens0
не помогает

Answer 1

[ky0]

Форвардинг происходит не "на интерфейс", а "на адрес". Если добавлено корректное правило фаерволла и разрешён форвардинг - пакет сам улетит в нужный интерфейс в соответствии с таблицей маршрутизации.

Comments

[Thiago Alvarez]

создал другой интерфейс, хочу например чтобы весь трфик перенаправлялся на ens0. Пока не работает, в чем причина?

nmcli connection add type macvlan ifname ens0 con-name ens0 dev ens192 mode bridge
nmcli connection modify ens0 ipv4.method manual ipv4.addresses 10.10.10.60/24
nmcli connection up ens0

iptables -t nat -A PREROUTING -p icmp -j DNAT --to-destination 10.10.10.60
iptables -A FORWARD -i ens192 -o ens0 -j ACCEPT 
iptables -A FORWARD -i ens0 -o ens192 -j ACCEPT
iptables-save