Какой правильный iptables позволит не зацикливаться при выходе через проброшенный порт?

Question

[Daniel Newman]

Лежит на сервере-хосте горка KVM-гостей, гости ломятся через 80-й порт наружу, что бы получить апдейты пакетов rpm/yum..., вытянуться curl и т.д. Но все эти запросы запиливаются к локальному http­-серверу по ряду причин в iptables хост-машины:

iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.10.110:80

Это выглядит как-то так:

+----------------------------+
| Debian KVM-Host            |       iptables -t nat -I PREROUTING -p tcp \
| eth0:  5.5.5.5             |         --dport 80 -j DNAT --to-destination 10.10.10.110:80
| vmbr1: 10.10.10.1          |
+--------+-------------------+
         |
+--------+------------+
| nginx  10.10.10.110 |
+---------------------+
    |      |      | 
    |      |      |    +---------------------+
    |      |      +----| Guest1 10.10.10.123 |
    |      |           +---------------------+
    |      |   +---------------------+
    |      +---| Guest1 10.10.10.122 |
    |          +---------------------+
    |   +---------------------+
    +---| Guest1 10.10.10.121 |
        +---------------------+

Допустим, дергаю я wget yandex.ru с Guest3 10.10.10.123, а у меня в nginx-прокси на 10.10.10.110 все запросы незнакомые перенаправляются на Guest2 10.10.10.122, а на нем — Plesk, и вот мне этот самый плеск сообщает, что страница по умолчанию для этого сервера… и отдает мне её. Да и сам 10.10.10.110 все попытки выйти из сети, согласно правилу хост-машины, через себя пропускает и на 10.10.10.122 взад шлет. Сами интернет-адреса правильно ресолвятся (другие порты), но кого это интересует.

Так вот, как «разлупить» мне эту ситуацию — не вразумею. Помогите, пожалуйсталюдидобрые, с таким правилом, что бы все внешние адреса !10.10.10.0/24 слались через NAT и во вне хост-машины.

Comments

[Akint]

С одной стороны, Вы пишете, что, «по ряду причин», все запросы с гостей на 80 порт заруливаются на nginx. С другой стороны, хотите, чтобы «все внешние адреса !10.10.10.0/24 слались через NAT». Так какие адреса (src, dst) надо заруливать на nginx, а какие — NATить и выпускать наружу?

[Daniel Newman]

Я — невежа, слушайте меня больше. ) Вот хост:

#  /etc/network/interfaces

auto lo
iface lo inet loopback

auto  eth0
iface eth0 inet static
    address   5.5.5.5
    gateway   5.5.5.4
    netmask   255.255.255.224
    post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

auto vmbr1
iface vmbr1 inet static
    address   10.10.10.1
    netmask   255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0
    post-up echo 1 > /proc/sys/net/ipv4/ip_forward

    # nginx висит на :80 хоста
    post-up iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.10.110:80

    # все, идущее на 10.10.10.1 через vmbr1
    post-up iptables -t nat -A POSTROUTING  -s '10.10.10.0/24' -o vmbr1 -j MASQUERADE

    # всё, что хочет выйти наружу
    post-up iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Хочется выпускать гостей .121-.123 за апдейтами наружу. Извне оставить досягаемым только 10.10.10.110

[at88]

У вас на «Debian KVM-Host» только один интерфейс eth0?

[Daniel Newman]

Нет, еще там vmbr1 есть.
Исправил ошибку на картинке.

Answer 1

[Akint]

iptables -t nat -I PREROUTING -p tcp -d 5.5.5.5 --dport 80 -j DNAT --to 10.10.10.110:80
Все tcp пакеты, пришедшие 5.5.5.5:80, будут перенаправлены на 10.10.10.110:80

iptables -t nat -I POSTROUTING -p tcp -s 10.10.10.0/24 --dport 80 -o eth0 -j SNAT --to 5.5.5.5
Гостям, ломящимся наружу на 80й порт, менять адрес источника на 5.5.5.5

Оно?

Comments

[Daniel Newman]

Вот сейчас пробую — «не очень». Получается, что я во втором правиле выталкиваю пакеты на 80-й порт первого правила и возвращаюсь на 10.10.10.110:80

[Daniel Newman]

пардон, не удалил старое правило. миллион раз спасибо!

Answer 2

[oldbay]

А если так:
iptables -t nat -I PREROUTING -p tcp -d 10.10.10.0/24 --dport 80 -j DNAT --to-destination 10.10.10.110:80
или для диапазона
iptables -t nat -I PREROUTING -p tcp -m iprange --dst-range 10.10.10.120-10.10.10.150 --dport 80 -j DNAT --to-destination 10.10.10.110:80
*10.10.10.120- 10.10.10.150 -диапазон выделенный под гостевые хосты.

Comments

[Daniel Newman]

Какая польза в том, что я это правило навяжу еще жестче? Сейчас даже 10.10.10.110 сам, при попытке curl/wget ya.ru запрашивает этот ресурс у 10.10.10.110:80 (т.е. с самого себя).

[Daniel Newman]

;) Не про то написал. В этом правиле нет места для проброски порта с 5.5.5.5:80 на 10.10.10.110:80

Answer 3

[Daniel Newman]

Опишу, как я сам понимаю мой iptables.

iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.10.110:80

добавить в таблицу nat следующее правило для приходящих пакетов:

PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.10.10.110:80

«со всеми пакетами протокола tcp, пришедшими на 80-й порт (может тут явно надо указывать „пришедшие извне пакет“ или адрес интерфейса 5.5.5.5 указать надо?) поступить следующим образом»

-j DNAT --to-destination 10.10.10.110:80

«перейти во внутреннюю цепочку правил: „изменить адрес назначения пакетов на 10.10.10.110:80“»

Правильно пока?

Answer 4

[forefinger]

# фовард приходящего "снаружи"
-t nat -A PREROUTING -d 5.5.5.5/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.10.110:80
# фовард приходящего "изнутри" ( опционально )
-t nat -A PREROUTING -d 10.10.10.1/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.10.110:80