Назад | Перейти на главную страницу

NAT на порт 80 не работает, когда запрос приходит сам

У нас есть машина с виртуальной машиной с локальным IP-преобразованием, преобразованным в общедоступные IP-адреса.

Когда запрос приходит на общедоступный IP-адрес через порт 80, он будет перенаправлен на виртуальную машину с локальным IP-адресом.

Это правило iptable, которое мы используем:

iptables -t nat -A PREROUTING -p tcp -d public-ip --dport 80 -j DNAT --to ip-of-vm:80

Бывают случаи, когда запрос должен быть отправлен с виртуальной машины на себя через общедоступный IP-адрес.

Но этого не происходит, т.е. виртуальная машина не может общаться с собой через публичный IP. Я попытался подключиться по telnet к общедоступному IP-порту 80 из виртуальной машины, но соединение не происходит даже при подключении к сети.

Как я могу решить эту проблему?

netstat на концертах vm

$ netstat -ntp |grep 80
tcp        0      1 localip:53067    public-ip:80        SYN_SENT    22226/telnet**

выход iptables-save -c:

рассмотрите 192.168.61.31 как pub ip на eth0 192.168.61.40 как pub ip на eth0: 1

# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*nat
:PREROUTING ACCEPT [9:1584]
:INPUT ACCEPT [9:1584]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [12:720]
[222:13320] -A PREROUTING -d 192.168.61.40/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.122.43:80
[164:9840] -A PREROUTING -d 192.168.61.31/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.122.42:80
[15:16631] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
[76:5092] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
[0:0] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.122.0/32 -o virbr0 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.61.31
COMMIT
# Completed on Wed Jun 13 13:29:06 2012

# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*mangle
:PREROUTING ACCEPT [491283:64985216]
:INPUT ACCEPT [467366:60033592]
:FORWARD ACCEPT [23752:4941940]
:OUTPUT ACCEPT [472767:103297872]
:POSTROUTING ACCEPT [496519:108239812]
[0:0] -A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Wed Jun 13 13:29:06 2012

# Generated by iptables-save v1.4.12 on Wed Jun 13 13:29:06 2012
*filter
:INPUT ACCEPT [467244:60021819]
:FORWARD ACCEPT [23744:4941444]
:OUTPUT ACCEPT [472681:103288146]
[0:0] -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
[0:0] -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
COMMIT
# Completed on Wed Jun 13 13:29:06 2012

Я думаю, вы упускаете еще одно правило:

iptables -A POSTROUTING -s $PRIVATE_NET -o $PRIVATE_INTERFACE -p tcp -m tcp --dport 80 -j SNAT --to-source $PUBLIC_IP