Задать вопрос
@Tanairan
системный администратор

Как настроить SNAT для 4х адресов в iptables в Proxmox для виртуалки с iredmail?

У Hetzner арендован сервер, на нём развёрнут Proxmox с 5ю белыми айпи (1.2.3.1 - 1.2.3.5).
По умолчанию 1.2.3.5 используется для управления самим гипервизором, внутренний 192.168.0.1 для NATа всех виртуалок.
На виртуалке с Ubuntu 18.04 установлен iredmail, через netplan на ней настроены 5 интерфейсов (192.168.0.101 - 192.168.0.105). Интерфейс 192.168.0.105 основной с гейтвеем 192.168.0.1. 192.168.0.101 - 192.168.0.104 настроены в iredmail для 4х доменов.

В Proxmox настроены для почты такие правила:
-A PREROUTING -d 1.2.3.1/32 -p tcp -m multiport --dports 25,587,110,995,143,993 -j DNAT --to-destination 192.168.0.101
-A PREROUTING -d 1.2.3.2/32 -p tcp -m multiport --dports 25,587,110,995,143,993 -j DNAT --to-destination 192.168.0.102
-A PREROUTING -d 1.2.3.3/32 -p tcp -m multiport --dports 25,587,110,995,143,993 -j DNAT --to-destination 192.168.0.103
-A PREROUTING -d 1.2.3.4/32 -p tcp -m multiport --dports 25,587,110,995,143,993 -j DNAT --to-destination 192.168.0.104
-A POSTROUTING -s 192.168.0.101/32 -j SNAT --to-source 1.2.3.1
-A POSTROUTING -s 192.168.0.102/32 -j SNAT --to-source 1.2.3.2
-A POSTROUTING -s 192.168.0.103/32 -j SNAT --to-source 1.2.3.3
-A POSTROUTING -s 192.168.0.104/32 -j SNAT --to-source 1.2.3.4
-A POSTROUTING -s 192.168.0.0/24 -o vmbr0 -j MASQUERADE


3 домена с айпи 192.168.0.101 - 192.168.0.103 работают через правила SNAT прекрасно, а 192.168.0.104 не роутится.
Если правило
-A POSTROUTING -s 192.168.0.104/32 -j SNAT --to-source 1.2.3.4
поставить первым в цепочке, то остальные правила с SNAT перестают работать.
Маскарадинг для 192.168.0.105 и других виртуалок работает.

Настроить 1.2.3.1 - 1.2.3.4 непосредственно на виртуалке с iredmail не получится, т.к. эти адреса также используются для проброса непочтовых портов на другие виртуалки.

Как правильно настроить iptables, чтобы SNAT для 192.168.0.104 заработал?
Требуется помощь зала, совет, конструктивная критика.
  • Вопрос задан
  • 353 просмотра
Подписаться 3 Средний 3 комментария
Пригласить эксперта
Ответы на вопрос 1
@d-stream
Готовые решения - не подаю, но...
Просто из личного, свежего: netplan писали какие-то грибные персонажи Пелевина... в общем присоединяюсь к толпам народа, кричащего "выкинь netplan")

Возможно уже действа по выкидыванию будет достаточно чтобы правила iptables заработали как и ожидается
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы