在flatdhcp网络模式下,openstack中的固定IP无法直接访问,但浮动IP可以被ping通。这涉及到iptables的规则。当ping浮动IP时,DNAT规则将目标IP改为固定IP。然而,直接ping固定IP会被filter表中的DROP规则阻止。若从外部ping,数据包通过路由可达。本文探讨了开放安全规则情况下的网络路径。
今日在学习openstack的网络,我们用的是flatdhcp这种网络模式。一直有个疑惑,为什么固定ip是不能访问,而浮动ip是可以ping通。这是怎么做到的。
其实固定ip和浮动ip本质是没什么区别的,先需要看下iptables的一些知识
假设我们在云主机上ping 浮动ip 192.168.139.7,那么是直接从本地进程出发,到路由表,走output链
查看iptables的规则,可以看到在nat的表中有一个dnat的规则,也就是
Chain nova-network-OUTPUT (1 references)
target prot opt source destination
DNAT all -- 0.0.0.0/0 192.168.139.7 to:192.168.138.17既然修改的是nat表中的output链,这个过程是把目标访问是浮动ip变为固定ip。这个可以通过,而直接ping固定ip是不能通过的,那么只有通过在filter这里的output链中的规则了。果然查看filter可以看到
Chain nova-compute-inst-43 (1 references)
最低0.47元/天 解锁文章
扫一扫
1316
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
