linux snat mac 桥,关于SNAT在bridge中不生效的问题

最新推荐文章于 2022-07-08 18:03:31 发布
最新推荐文章于 2022-07-08 18:03:31 发布
阅读量392 收藏 1
点赞数
文章标签: linux snat mac 桥

本周在协助验证一套虚拟网络的方案,该方案包含一个bridge,向上对接容器的veth,并接管真实NIC作为tx口,方案中需要在bridge中做SNAT,具体hook点位于POST_ROUTING,命令如下:iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -j SNAT --to-source 192.168.0.5

为了验证该方案,我创建了一对veth,其中一端划分到独立的netns中,命令如下:ip link add br-veth type veth peer name veth

ip link set br-veth up

ip link set veth up

brctl addif br0 br-veth

ip netns add test-zone

ip link set veth netns test-zone

ip netns exec test-zone ip addr add 192.168.0.100/24 dev veth

为了避免方案过于复杂,规避gw带来的影响,这里假设对端和本端在同一子网,在test-zone中ping对端,我发现对端抓包看到的源IP并未变为192.168.0.5,换句话说SNAT未生效。

在veth的tx方向,这里仅需做二层转发即可,阅读bridge的源码可以发现如下路径(kernel 3.10/4.9无显著区别):br_forward -> BR_FORWARD -> br_nf_forward -> BR_POST_FORWARD -> br_nf_post_routing -> INET_POST_ROUTING

然而挂载POST_ROUTING的SNAT竟然未生效,真的令人匪夷所思。一番google之后,发现需要enable一个标志:echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables

纵观bridge实现,该sysctl的值最终设置到了变量nf_call_iptables,而该变量仅在br_nf_pre_routing中使用。显然,这是不符合预期的。

惯性思维使然,总认为既然有代表特性是否开启的变量,那么在代码相关的分支处一定会用到该变量,而bridge的实现则正好不是这样。

可以看到,只有开启了nf_call_iptables,才会进入网络层的netfilter hook点:static unsigned int br_nf_pre_routing(void *priv,

struct sk_buff *skb,

const struct nf_hook_state *state)

{

struct nf_bridge_info *nf_bridge;

struct net_bridge_port *p;

struct net_bridge *br;

__u32 len = nf_bridge_encap_header_len(skb);

if (unlikely(!pskb_may_pull(skb, len)))

return NF_DROP;

p = br_port_get_rcu(state->in);

if (p == NULL)

return NF_DROP;

br = p->br;

...

if (!brnf_call_iptables && !br->nf_call_iptables)

return NF_ACCEPT;

...

nf_bridge_put(skb->nf_bridge);

if (!nf_bridge_alloc(skb)) // 注意这里!

return NF_DROP;

...

NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING, state->net, state->sk, skb,

skb->dev, NULL, br_nf_pre_routing_finish);

return NF_STOLEN;

}

很容易忽略标着注释的那一行,而恰是那一行,直接决定了是否进入NF_INET_FORWARD和NF_INET_POST_ROUTING的HOOK点。static unsigned int br_nf_forward_ip(void *priv,

struct sk_buff *skb,

const struct nf_hook_state *state)

{

struct nf_bridge_info *nf_bridge;

struct net_device *parent;

u_int8_t pf;

if (!skb->nf_bridge) // 看这里!

return NF_ACCEPT;

...

NF_HOOK(pf, NF_INET_FORWARD, state->net, NULL, skb,

brnf_get_logical_dev(skb, state->in),

parent, br_nf_forward_finish);

return NF_STOLEN;

}static unsigned int br_nf_post_routing(void *priv,

struct sk_buff *skb,

const struct nf_hook_state *state)

{

struct nf_bridge_info *nf_bridge = nf_bridge_info_get(skb);

struct net_device *realoutdev = bridge_parent(skb->dev);

u_int8_t pf;

if (!nf_bridge || !nf_bridge->physoutdev) // 看这里!

return NF_ACCEPT;

...

NF_HOOK(pf, NF_INET_POST_ROUTING, state->net, state->sk, skb,

NULL, realoutdev,

br_nf_dev_queue_xmit);

return NF_STOLEN;

}

参加工作后,见识了很多相当“野”的解决方案,一言不合就得改kernel,为了避免遇到问题时一脸懵逼,平时还是要多花时间熟悉内部实现!

lizi栗子会有猫的
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux网络配置不成功,linux上网络配置不生效的怪异现象处理
weixin_42327217的博客
05-04 1020
1、在Linux上。在ifcfg-eth0上设置IP地址等信息具体配置信息例如以下已[root@rac01 Desktop]#more/etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0BOOTPROTO=noneNM_CONTROLLED=yesONBOOT=noTYPE=EthernetUUID=3d5f18d5-73e0-48db-acbb...
iptables SNAT无效
lahm_z的博客
11-29 3298
iptables配置SNAT无效,但是ping包是有效的。 1. ping出去的包,源IP都进行的转换成了有效IP,udp出去的包没有进行转换。 2. 把UDP程序重启,然后iptables就生效了。 3.研究发现,在/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout 为30,单位是秒,这个是UDP跟踪时间,如果iptables
linux bridge 不工作,linuxBridge无法正常工作
weixin_39588432的博客
05-14 447
我们希望通过eth0和eth1接口在我们的主板上创建(mybridge).该板运行 Linux 2.6.34.9.以下是命令:brctl addbr mybridgeifconfig eth1 0.0.0.0ifconfig eth0 0.0.0.0brctl addif mybridge eth1brctl addif mybridge eth0ifconfig mybridge upPC —...
linux bridge 不工作,linux bridge不转发问题
weixin_26968079的博客
05-14 725
问题描述在centos7上建了一个bridge,把一些端口挂到bridge上,从一个端口收到的流量无法通过bridge转发到另一个端口上问题出现的环境背景及自己尝试过哪些方法两台linux服务器,server1和server2,操作系统都是centos7server1上:建了一个bridge(br0),一个vxlan(vxlan0),一对veth pair(veth0,veth1),一个netns...
网工排错日记:一台服务器同时做NAT SERVER、SNAT,后者不生效
weixin_44799797的博客
01-28 2944
发现问题问题分析NAT SERVER的no-reverse 发现问题 偶然碰到个问题,内网存在一台服务器,针对于内网用户在防火墙做了一个NAT SERVER,映射成了内网的某个IP,现在服务器新增连接外网的需求,但做了SNAT以后,服务器无法上内网 环境拓扑如下: 简单说明下,设服务器IP为A,在FW处通过nat server映射成了B(内网IP),FW的WAN口IP为C(公网IP),在FW上通过SNAT将A映射成C后,服务器无法连通外网 问题分析 1、SNAT配置没有问题,且服务器能正常访问内网,服.
Linux防火墙配置SNAT教程(1)
09-15
主要为大家详细介绍了Linux防火墙配置SNAT教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Linux防火墙配置SNAT教程(2)
09-15
主要为大家详细介绍了Linux防火墙配置SNAT教程第二篇,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
基于Linux操作系统的SNAT策略.pdf
09-06
本文档主要讨论基于Linux操作系统的SNAT策略,解决企业面临的IP地址资源匮乏问题。SNAT策略主要应用在局域网共享上网接入的方面,通过Iptables命令实现Source Network Address Translation,修改局域网外发数据包的...
虚拟机在 Linux 安全课程方面的应用以 SNAT 为例.pdf
09-06
虚拟机在 Linux 安全课程方面的应用以 SNAT 为例.pdf
MAC->交换机
巴德鸟
11-17 842
MAC地址一共48位(EUI-48),高24位由标准规定给厂家,低24位由厂家自行分配。 可以修改MAC,但是网卡芯片里有唯一MAC地址改不了。 适配器每收到一个MAC帧都会检查,发往本站的帧包括:单播帧、广播帧、多播帧 一个MAC帧包含 IP数据包从网络层过来,传输至少需要64字节,所以网络层输出至少46字节(46-1500) 以太网传输的MAC帧还包括前面8个字节。 网 基于MAC地址...
Linux从入门到放弃 iptables SNAT源地址转发
欠了三年一场梦的博客
02-12 375
公网 [root@7 ~]# iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 192.168.1.1 [root@7 ~]# vim /etc/sysctl.conf # sysctl settings are defined through files in # /usr/lib/sysctl.d/, /...
Linux网络虚拟化再实践 - Bridge + NAT
EricJeffrey的博客
09-12 686
文章目录步骤实现创建`Network Namespace`、虚拟网卡设备`veth`与设备`bridge`ip netns、ip link命令简介创建netns、veth、bridge配置设备、虚拟网卡设备配置`nat`iptables 简介`nat`表包含如下四个内置chain:`nat`表三个(部分)可用的内置target`iptables`命令的选项,只能指定其一个定义*rule*...
详解MAC地址,网,路由器_计算机网络笔记
weixin_45951642的博客
04-21 4457
目录 1. MAC地址 1.1 MAC 层的硬件地址 1.2 48位的MAC地址 1.3 单站地址,组地址,广播地址 1.5 MAC帧的格式 1.6 MAC帧间最小间隔 2.扩展的以太网 2.1 在物理层扩展以太网 3. 网 3.1 网的内部结构 3.2 使用网的优点 3.3 网的缺点 3.4 透明网 3.5 源路由网 3.6网自学习和转发帧的步骤 4. 以太网交换机 4.2 以太网交换机存储转发方式 4.3 总线型以太网和星型以太网的区别​ ...
IPtables之四:NAT原理和配置
weixin_34250709的博客
07-26 525
NAT一般情况下分为SNAT,DNAT和PNAT 此篇主要讲述的是使用iptables配置NAT,所以这3种NAT的区别和应用场景就简单的说明一下 SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情...
记录下/proc/sys/net/bridge/bridge-nf-call-iptables原理。
flxzlxb的专栏
01-19 3018
1、首先NF_BR_PRE_ROUTING钩子点注册了br_nf_pre_routing函数。 2、br_nf_pre_routing函数有if (!brnf_call_iptables && !br->nf_call_iptables) return NF_ACCEPT;,二者有一个为真则执行函数后续的代码。 3、br_nf_pre_routing函数调用了nf_bridge_alloc分配skb->nf_bridge。 4、br_nf_forward_ip、br_.
网络虚拟化之虚拟交换机技术Linux Bridge
技术百宝箱
07-08 2461
接上篇网络虚拟化之虚拟网卡技术veth再来看看虚拟交换机技术Linux Bridge。 几个核心点:1.veth只能成对出现,多对多就需要一个交换机2.Linux Bridge覆盖物理交换机所有功能3.Linux Bridge比物理交换机多一个转发本机IP的数据包4.单IP的单机上多个容器的通讯网络,可以NAT转换有了虚拟网卡,很自然也会联想到让网卡接入到交换机里,实现多个容器间的相互连接。Linux Bridge 便是 Linux 系统下的虚拟化交换机,虽然它以“网”(Bridge)而不是“交换机”(S
透明网调用iptables修改数据包无效
weixin_45504433的博客
02-19 708
问题 使用命令iptables -t mangle -A POSTROUTING -o bridge0 -j TTL --ttl-set 50 ttl没有变换 解决办法: 启动bridge-nf方式:编辑文件vim /etc/sysctl.conf 添加: net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptab...
iptables SNAT 之后ping不通解决
dean_gdp的专栏
06-26 5318
iptables -t nat -A POSTROUTING -s 192.168.81.238 -j SNAT --to 192.168.81.245 把本地网卡
LinuxMAC地址的选择
redwingz的博客
05-04 6872
创建在网创建时(brctl addbr br_test),内核为其生成一个随机的mac地址,并保证此地址的多播位为零(首字节第一个bit位:addr[0] &= 0xfe),并且设置上首字节的第二个bit位,表明为本地生成的mac地址(addr[0] |= 0x02)。static inline void eth_hw_addr_random(struct net_device *d...
linux配置snat
最新发布
05-28
Linux ,SNAT (Source Network Address Translation) 是一种将出站流量从一个源 IP 地址转换为另一个源 IP 地址的技术。 SNAT 常常用于 NAT 网络环境,例如一个家庭网络,有多个设备需要共享一个公网 IP ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值