Mam serwer Debian 7 z 5 publicznymi adresami IP. Na serwerze mam kilku gości KVM (wszystkie Debian 8). Jeden z gości musi być publicznie dostępny za pomocą jednego z publicznych adresów IP. Ten ma adres IP, 192.168.122.133
a wszyscy inni goście mają adresy IP w zasięgu 192.168.122.50/28
.
Obecnie skonfigurowałem go tak, aby goście mogli się ze sobą komunikować, jednak zewnętrzne połączenia przychodzące i wychodzące zawodzą z gościem, który musi być publicznie dostępny (działają tylko połączenia z sieci lokalnej).
Są to zasady, które moim zdaniem powinny przekazywać cały ruch przychodzący i wychodzący do iz tego gościa, ale wydaje się, że nie robi tego, co powinien:
/sbin/iptables -t nat -I PREROUTING -d 111.111.111.133 -j DNAT --to 192.168.122.133
/sbin/iptables -t nat -I POSTROUTING -s 192.168.122.133 -j SNAT --to 111.111.111.133
/sbin/iptables -t filter -I FORWARD -d 192.168.122.133 -j ACCEPT
/sbin/iptables -t filter -I FORWARD -s 192.168.122.133 -j ACCEPT
Wcześniej miałem tę konfigurację i wierzę, że kiedyś działała poprawnie, ale mogłem coś zmienić lub jakaś aktualizacja systemu mogła coś zmienić, a teraz nie działa.
Więcej informacji:
Sieć KVM jest skonfigurowana:
<network>
<name>default</name>
<uuid>261764e8-ef0c-dc57-90b5-4c356ae12bf1</uuid>
<forward mode='nat'/>
<bridge name='virbr0' stp='on' delay='0' />
<mac address='52:54:00:77:D9:2B'/>
<ip address='192.168.122.1' netmask='255.255.255.0'>
<dhcp>
<range start='192.168.122.2' end='192.168.122.254' />
</dhcp>
</ip>
</network>
Konfiguracje sieci gościa są takie:
<interface type='network'>
<mac address='52:54:00:61:d9:ba'/>
<source network='default'/>
<model type='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>
Oto mój / etc / network / interfaces na serwerze hosta:
# The loopback network interface
auto lo
auto eth3
auto eth3:0
auto eth3:1
auto eth3:2
auto eth3:3
iface lo inet loopback
# The primary network interface
allow-hotplug eth3
iface eth3 inet static
address 111.111.111.130
netmask 255.255.255.248
network 111.111.111.128
broadcast 111.111.111.135
gateway 111.111.111.129
dns-nameservers 8.8.8.8 8.8.4.4 127.0.0.1
iface eth3:0 inet static
address 111.111.111.131
netmask 255.255.255.248
iface eth3:1 inet static
address 111.111.111.132
netmask 255.255.255.248
iface eth3:2 inet static
address 111.111.111.133
netmask 255.255.255.248
iface eth3:3 inet static
address 111.111.111.134
netmask 255.255.255.248
Goście są skonfigurowani ze statycznymi adresami IP. Na przykład:
iface eth0 inet static
address 192.168.122.133
netmask 255.255.255.0
network 192.168.122.0
broadcast 192.168.122.255
gateway 192.168.122.1
dns-nameservers 192.168.122.1
Wierzę, że właśnie to pozwala gościom, którzy nie powinni być dostępni z Internetu, na dostęp do Internetu (dostosowany stąd ) - zauważ, że mają nieco inny zakres adresów IP:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p tcp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p udp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -j MASQUERADE
/sbin/iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 192.168.122.50/28 -i virbr0 -j ACCEPT
/sbin/iptables -t filter -A INPUT -s 192.168.122.50/28 -i virbr0 -j ACCEPT