端口转发 局域网数据包在桥上DNAT后无法forward

最新推荐文章于 2024-04-28 13:16:41 发布
最新推荐文章于 2024-04-28 13:16:41 发布
阅读量1.1k 收藏
点赞数
分类专栏: linux netfilter 文章标签: linux 服务器 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dashanque/article/details/122351910
版权

问题:

端口转发,内网设备2的端口5555绑定WAN端口2222。内网设备1访问WAN口端口2222,在桥上pre链执行了DNAT操作,但是数据包最终未转发到内网设备2的5555端口上。如果开启tcpdump抓包工具就正常转发,关闭后还是无法转发。

原因分析:

内核的桥代码在处理pre链上的数据包DNAT后,不会将数据包传到上层IP栈上,也就不会再过forward链。桥将DNAT后的数据包直接转发到设备2的5555端口上,此时数据包源地址IP是设备1。设备2处理完成后返回数据包的源地址是设备2目的地址是设备1,设备1收到数据包后发现数据包地址不对(设备1期望的是源地址是WAN口IP地址目的地址是设备1),设备1丢掉返回的数据包。

修改:

br_netfilter.c

static int br_nf_pre_routing_finish(struct sk_buff *skb)

if (skb_dst(skb)->dev == dev) {

修改为如下

if (0) {//(skb_dst(skb)->dev == dev) {

dashanque
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pynat:纯 Python 中的异步 DNAT 端口转发
07-20
皮纳特 纯 Python 中的 DNAT 端口转发 异步(使用非阻塞库) 没有依赖 与 PyPy 兼容 用例 您需要将端口从执行机器转发到另一台主机例如,您想通过 Web 服务器临时将 SSH 转发到 NAT 主机 您的应用程序是多进程的,不能保证创建端口转发的进程也会关闭它(但另一个进程会这样做) 对于大多数 Web 应用程序来说都是如此 您不想授予您使用iptables等的应用程序权限。 这可能会使部署不那么愉快和不安全 你更喜欢少依赖 安装 pip install [--user] git+https://github.com/lpirl/pynat.git 例子 包括测试转发是否有效 去做 一个包装器来方便地设置一个“进程不可知”的端口转发(例如 API 作为PortForwarding但返回本地端口、UNIX 套接字路径和秘密) 从而整理 关闭已建立连接的能力 反馈 随时通过问
代理_端口转发_端口映射_NAT_概念释疑2.31
08-03
1.只修改源 ip:port,即 sNAT 源地址转换,其中 ip:port 可以只改 ip,也必须改 ip 2.只修改目标 ip:port,即 dNAT 目的
linux主机配置dnat,iptables之实现DNAT对内网web服务器发布
weixin_29190573的博客
05-14 199
一、简介通过iptables当中的NAT功能实现对内网的web服务发布,实现公网用户可以访问内网的web服务器二、拓扑图202.100.1.x公网ip地址段192.168.1.x内网ip地址段三、配置步骤+过程※w2003配置配置好ip地址即可(这里使用的是通一个网段,故不用指定网关)※RedHat(5.8)iptables配置①开启路由转发功能echo 1 > /proc/sys/ne...
Linux端口转发的几种常用方法
u012007592的博客
03-23 968
端口转发是一个常用的功能,不管是在服务器运维还是在渗透领域,都需要用到。在近期遇到一个问题就是一个服务的端口不能进行配置,但是由于出口硬件防火墙的原因,为了不修改硬件防火墙的策略,所以只能在本地做端口转发。因此尝试和寻找了以下的几种方法。 0x01 iptables和firewall iptables iptables是我第一个想到的方法,但却是最后一个尝试的,因为我对iptabl...
基于Docker与iptables的SNAT+DNAT服务器发布项目
a
08-13 463
Docker项目名称项目描述项目设备项目步骤项目心得 项目名称 基于Docker与iptables的SNAT+DNAT服务器发布项目 项目描述 模拟企业的环境发布内网的服务器或者由于业务扩大服务器不足,增加镜像服务器的方式来维护企业业务,同时也让内网服务器可以上网,采取docker容器技术构建自己的web和MySQL等应用 项目设备 centos7(两台),Ubuntu20.04,docker20.10.8,mysql5.7.35,nginx1.21.1 项目步骤 1、规划整个网络拓扑图,为每个机器规划网络
DNAT之后,还需要FORWARD
weixin_33728268的博客
06-02 113
在实际生产环境中,安全问题不容轻视,必须相信,linux也是不安全的。在iptables规则中设置的严格一些对自己的提升,对公司的利益都有好处。先阻止一切,再允许需要的规则。FORWARD 初始动作是DROP现在想做一个DNAT,用户访问123.222.111.99的8000端口可以跳转到192.168.9.100的80端口 我做了一条DNATiptables -t...
FTP内网映射到外网,登录成功,无法获取文件夹信息解决办法
qq_27010291的博客
03-02 2364
今天测试发现,FTP内网映射到外网,登录成功,无法获取文件夹了,这就导致平时可能在内网中没有问题的ftp这下出幺蛾子了,但是我们总是相信一句话,方法总是比问题多的。都是可以解决的。哈哈哈,这是信念。。。不管遇到啥。 先上图,看下用ftp连接工具测试的结果。 那么服务器端设置,肯定做了外部防火墙设置的。映射出去的数据通道。继续上图。 看到这里,那么问题就差不多解决了,这个...
Tun虚拟接口应用总结
生如夏莲的专栏
10-17 3005
一、实现原理 Linux内核的TUN/TAP虚拟设备,不同于内核的其它设备,其发送和接收数据包都在网络协议栈内部完成,发送的数据包并不会离开协议栈进入到物理网络中,同样,也不会接收到从物理网络中进入协议栈的数据包。 用户空间的设备节点/dev/net/tun用于读写TUN/TAP设备,内核中TUN/TAP设备在发送数据包时,将数据包发送到与/dev/net/tun文件描述符相关联的套接口...
山石网科防火墙DNAT常见问题基础排查
qq_41919868的博客
03-05 4291
山石网科防火墙DNAT常见问题基础排查
解决iptables DNAT不生效
CHEndorid的博客
07-05 9219
DNAT不生效,如果命令都是正确的,那么问题就出在操作不完整,只做了DNAT配置的一部分。完整步骤如下 0、场景介绍 192.168.1.81:ip81服务器上,启了一个nginx,端口80 192.168.1.57:ip57服务器,在这台上添加防火墙规则,让其他服务器能够通过ip57的800端口访问ip81的web服务 192.168.1.222:ip222服务器为同一内网中的验证服务器,验证DNAT是否配置成功 1、打开内核转发功能 echo "net.ipv4.ip_forward=1"
VMware之SNAT与DNAT.docx
01-03
VMware之SNAT与DNAT
tencentyun#intlcloud-documents#新建端口转发规则_intl_zh1
07-25
端口转发表是 NAT 网关上的一张配置表,用于配置 NAT 网关上的 DNAT 功能,可将 VPC 内云服务器的 [ 内网 IP,协议,端口 ] 映射成 [ 外
山石防火墙DNAT-web页面配置.pdf
08-31
山石防火墙DNAT-web页面配置
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 1051
子网ip 与网关。
Linux多进程(五) 进程池 C++实现
Lyajpunov的博客
04-26 807
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux——web服务配置
Xinan_____的博客
04-23 1135
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linux:浏览器访问网站的基本流程(优先级从先到后)
最新发布
fox_kang的博客
04-28 614
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 抽象命名空间(Abstract Namespace)简介
日拱一卒,玉汝于成
04-25 592
与传统的 UDS 不同,抽象命名空间并不在文件系统中创建实际文件,而是仅存在于内核内存中,其名称以 localabstract: 作为前缀。在这个例子中,我们创建了一个名为 my_abstract_namespace 的抽象命名空间,并将其绑定到了刚创建的 Unix 套接字上。要在 Linux 系统中生成一个抽象命名空间,通常需要使用编程语言的套接字 API 来创建一个 Unix 域套接字,并将其绑定到一个以 localabstract: 开头的特殊路径。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 985
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
centos端口转发
09-12
在 CentOS 上进行端口转发通常可以使用 iptables 或 firewalld 来实现。下面是使用 iptables 进行端口转发的步骤: 1. 确保 iptables 工具已经安装,如果没有安装可以通过以下命令安装: ``` sudo yum install iptables ``` 2. 启用 IP 转发功能。编辑 `/etc/sysctl.conf` 文件,取消注释或添加以下行: ``` net.ipv4.ip_forward = 1 ``` 3. 使修改的 sysctl 配置生效: ``` sudo sysctl -p ``` 4. 添加端口转发规则。以下命令将把接收到的来自本地端口 `80` 的请求转发到目标IP `192.168.1.100` 上的端口 `8080`: ``` sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080 sudo iptables -t nat -A POSTROUTING -j MASQUERADE ``` 5. 保存 iptables 配置: ``` sudo service iptables save ``` 这样,在 CentOS 上就完成了端口转发的设置。请根据实际情况修改目标IP、端口号以及需要转发的本地端口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值