Linux bridge br0 veth 无法访问外网 由于 iptables

最新推荐文章于 2024-05-31 11:25:26 发布
最新推荐文章于 2024-05-31 11:25:26 发布
阅读量293 收藏 10
点赞数 3
分类专栏: 网络 随笔小记 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65380630/article/details/137380798
版权

项目场景:

为学习 network namespace 的知识,我做了一个 Linux bridge + veth的实验;

创建一个新network namespace,实现在其内部访问外部互联网。
此时我已经配置好 br0、veth0并实现veth0 可以 ping 通 ens33

多提一嘴:确保 br0 网桥的网段与 网卡ens33 的网段不同,不然你可能发现配好 br0 网桥后,无法与外网通信了;因为造成了路由表冲突,Linux 不知道从哪个接口出去,而 网桥无法与网卡一样通信,它只能转发包而已。

结构如下:

请添加图片描述

问题描述

虽然可以在内网中相互 ping 通,但在 ens33 能访问外网的条件下,veth1 却无法访问外网

原因分析:

由于自己创建配置 network namespace 、bridge、veth后,没有配置 iptables,导致数据包无法离开Linux

解决方案:

在iptables 中添加相应的规则,如下
这是一条 nat 规则,实现从 br0 出去的数据包发送到外部网络时,源 IP 地址将被替换为执行 NAT 的接口的 IP 地址。将内部网络的私有 IP 地址转换为公共 IP 地址,以便与外部网络进行通信
-s 10.10.20.0/24 : 源 IP 为 10.10.20.0/24 (br0 的网段)
-t nat : 指定 NAT 表
-A POSTROUTING : 指定 POSTROUTING 链
-j MASQUERADE : 这个操作通常用于将数据包的源地址转换为另一个地址(通常是防火墙或路由器的外部接口地址),以实现地址伪装或 SNAT。

iptables -s 10.10.20.0/24 -t nat -A POSTROUTING -j MASQUERADE

这样 新 network namespace 发出的包就能离开 Linux 完成通信
上面规则:用于源地址伪装(Source Address Masquerading,也称为 SNAT)的。这条规则将来自特定源地址范围(10.10.20.0/24)的数据包在 POSTROUTING 链上进行源地址转换。

图乐aj
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于C语言实现的一个软件模拟的ETH网卡设备驱动,加载驱动后,会产生veth0和veth1两个设备,两个网卡设备可以互相通信
09-26
介绍 这是一个软件模拟的ETH网卡设备驱动,加载驱动后,会产生veth0和veth1两个设备,不同的应用程序分别打开这两个网卡设备可以互相通信(注意要使用linux网络命名空间隔离两个设备以免进入本地lo网络设备)。 安装 make make load 配置 使用网络命名空间分别配置两个网卡,注意替换veth0/veth1为你的网卡名称 ip netns add veth0spaces ip link set veth0 netns veth0spaces ip netns exec veth0spaces ifconfig veth0 192.168.1.100 netmask 255.255.255.0 up ip netns add veth1spaces ip link set veth1 netns veth1spaces ip netns exec veth1spaces ifconfig veth1 192.168.1.101 netmask 255.255.255.0 up 示例 以下为ping包测试示例 ip netns exec veth0spaces i
link_veth.rar_veth
09-23
veth driver module for Linux.
tcconfig:tc命令包装器。 轻松设置网络带宽的流量控制延迟包,丢失包,腐败等。 到网络接口Docker容器(veth
02-02
tcconfig:tc命令包装器。 轻松设置网络带宽的流量控制延迟包,丢失包,腐败等。 到网络接口Docker容器(veth
Linux网络二层技术讲解
07-12
这是一本对各种linux网络接口技术讲解的ppt。你可以对Linux网络接口类型和作用有个基本的认识。
02-Linux 网络基础(Network Namespase、veth pair、bridgeIptables
weixin_39169791的博客
03-14 1223
Linux 网络基础 Network Namespase 简单认识 Linux的namespace(名字空间)的作用就是“隔离内核资源”。在Linux的世界里,文件系统挂载点、主机名、POSIX进程间通信消息队列、进程PID数字空间、IP地址、userID数字空间等全局系统资源被namespace分割,装到一个个抽象的独立空间里。而隔离上述系统资源的namespace分别是Mount namesp...
使用 Linux bridgeLinux network namespace 连接外网
panbiao1999的博客
10-20 1585
原文:http://www.cnblogs.com/sammyliu/p/5763513.html Netruon 理解(12):使用 Linux bridgeLinux network namespace 连接外网 学习 Neutron 系列文章: (1)Neutron 所实现的虚拟化网络 (2)Neutron OpenvSwitch + VLAN 虚拟网络 (3)N
openstack Linux bridge实现neutron网络
每天进步一点点。。。的博客
12-04 5117
Linux bridge实现虚拟交换机的基本原理 br0linux bridgebr0充当虚拟交换机的作用,负责将物理网卡eth0和虚拟机网卡tap设备vnet0/vnet1连接到同一个二层网络,实现虚拟机VM1和VM2,以及虚拟机与外网之间的通信。   Linux-bridge支持local、flat、vlan和vxlan四种网络类型,目前不支持gre。 一、local 
Linux 实例常用内核参数介绍—容器访问外部网络之ip_forward数据包转发
进击的豌豆的博客
06-26 2956
容器访问外部网络Linux ip_forward 数据包转发
docker网络1
08-03
1.在主机上创建一对虚拟网卡veth pair设备 2.Docker将veth pair设备的一端放在新创建的容器中,并命名为eth0 3.从docker0子网
1 Linux网络虚拟化
qq_21438267的博客
06-03 501
和其他namespace一样,network namespace可以通过系统调用来创 建,我们可以调用Linux的clone()(其实是UNIX系统调用fork()的 延伸)API创建一个通用的namespace,然后传入CLONE_NEWNET参数 表面创建一个network namespacenetwork namespace的增删改查功能已经集成 到Linux的ip工具的netns子命令中,因此大大降低了初学者的体验门槛。
Docker网络原理
hxt的博客
03-19 4164
前言 Docker有4种网络通信模型,分别是:bridge、host、none、container,默认使用的网络模型是bridge,本文中用到的也是bridge网络模型 本文分享Docker网络原理,主要包含三部分内容: 容器之间通信 容器访问外网 外部访问容器 1、前置网络知识 1)、veth pair veth是虚拟以太网卡(Virtual Ethernet)的缩写。veth设备总是成对的,因此称之为veth pair。veth pair一端发送的数据会在另外一端接收。根据这一特性,veth pa
CentOS 7基础操作05_Linux查看及切换目录
最新发布
IT_zhangsan
05-31 787
pwd命令用于显示用户当前所在的工作目录位置,工作目录是用户操作文件或其他子目录的默认位置起点。使用pwd命令可以不添加任何选项或参数。
Linux - 磁盘的分区和挂载
weixin_45735487的博客
05-27 745
逻辑分区只能在拓展分区上划分,编号5-15。拓展分区编号1-4,拓展分区不能格式化。rescue 恢复分区,对于误删的分区进行恢复,语法: rescue 起始 结束。rm 删除分区,后接要删除的分区编号。(L) 在主分区和拓展分区划分完之后,默认提示划分逻辑分区。n 进行磁盘分区,这里会默认MBR标签。(p) msdos下,会默认选择先划分主分区。
Linux】升级GCC(版本9.3),补充:binutils
yannan20190313的博客
05-27 794
Linux】升级GCC(版本9.3),补充:binutils
Linux echo命令(在终端输出文本)
Dontla的博客
05-22 878
echo是Linux和Unix系统中常用的一个命令行工具,主要用于在终端输出文本。该命令非常简单,但是它在脚本编程和日常系统管理中扮演着重要的角色。
Linux】中常见的重要指令(下)以及重要的几个热键
2401_84568462的博客
05-27 1186
find指令查找的文件不能当前路径下(可以这样理解:如果要查找当前路径下可以使用ls指令,就不麻烦find指令了),必须查找当前路径下的目录里的文件。1.能被打包压缩的一定是由多个文件组成的,打包压缩后将文件变为一个整体,在传递给其他用户时不容易缺失。.tar打包后缀 .gz压缩后缀 XXX.tar.gz ----->XXX.tgz。功能:在系统特定的路径下查找,及可以找到可执行程序,有可以找到手册,安装包和压缩包等。命令在目录结构中搜索文件,并执行指定的操作。功能:在指令路径下搜索指令文件。
IMX6Q基于linux4.1.15调试音频芯片tas2505
qq_45147279的博客
05-29 145
获取时钟频率,因为我这边用的是外部晶振,不是使用CPU引脚MX6QDL_PAD_GPIO_0__CCM_CLKO1输出时钟的。如果上面of_match_table 的字符串跟设备树匹配上的话,接下来进入imx_tas2505_probe函数,这里我想说说设置ssi和audmux的方向问题,要么是由CPU输出BCLK,WCLK给音频芯片;tas2505_dai中的name变量名需要跟imx-tas2505.c中struct snd_soc_dai_link中的codec_dai_name变量名一样。
Linux 使用unzip解压时报错End-of-central-directory signature not found
weixin_44162814的博客
05-31 239
应该是 unzip 设置了这个解压的文件大小限制了
如何删除linux安装docker后,产生的以veth开头的虚拟网卡
05-24
例如,要删除名为veth0的虚拟网卡,可以执行命令`sudo ip link delete veth0`。 3. 如果有多个以veth开头的虚拟网卡需要删除,可以使用循环命令批量删除,例如: ``` for i in $(ip link show | awk -F': ' '{...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值