Forum: PC-Programmierung iptables mit hairpin / loopback nat funktioniert nicht


iptables mit hairpin / loopback nat funktioniert nicht
von C. H. (hedie)

Lesenswert? 

Hallo zusammen

Ihr seid meine derzeit letzte Hoffnung.
Versuche schon seit einiger Zeit hier ein hairpin / reflection NAT 
einzurichten.

Die iptables sehen so aus:

1
root@srv8:~# iptables -t nat -L -n -v --line-numbers

2
Chain PREROUTING (policy ACCEPT 8 packets, 409 bytes)

3
num   pkts bytes target     prot opt in     out     source               destination         

4
1      426 23387 DNAT       6    --  ens18  *      !10.0.2.0/24          0.0.0.0/0            tcp dpt:80 to:10.0.0.10:80

5
2     4796  285K DNAT       6    --  ens18  *      !10.0.2.0/24          0.0.0.0/0            tcp dpt:443 to:10.0.0.10:443

6
3       24  1080 DNAT       6    --  ens18  *      !10.0.2.0/24          0.0.0.0/0            tcp dpt:3000 to:10.0.0.10:3000

7
4        5   300 DNAT       6    --  vmbr0  *       10.0.0.10            100.212.198.74      tcp dpt:80 to:10.0.0.10:80

8
9
Chain INPUT (policy ACCEPT 1 packets, 60 bytes)

10
num   pkts bytes target     prot opt in     out     source               destination         

11
12
Chain OUTPUT (policy ACCEPT 14 packets, 879 bytes)

13
num   pkts bytes target     prot opt in     out     source               destination         

14
15
Chain POSTROUTING (policy ACCEPT 19 packets, 1176 bytes)

16
num   pkts bytes target     prot opt in     out     source               destination         

17
1    58631 3639K ts-postrouting  0    --  *      *       0.0.0.0/0            0.0.0.0/0           

18
2      794 47640 MASQUERADE  0    --  *      ens18   10.0.0.0/24          0.0.0.0/0           

19
3        0     0 SNAT       6    --  *      vmbr0   10.0.0.10            10.0.0.10            tcp dpt:80 to:100.212.198.74

20
21
Chain ts-postrouting (1 references)

22
num   pkts bytes target     prot opt in     out     source               destination         

23
1       25  1300 MASQUERADE  0    --  *      *       0.0.0.0/0            0.0.0.0/0            mark match 0x40000/0xff0000


Wie zu erkennen ist, treffen Pakete bei der PREROUTING Regel ein (5 
Stk.):

1
Chain PREROUTING (policy ACCEPT 8 packets, 409 bytes)

2
num   pkts bytes target     prot opt in     out     source               destination      

3
4        5   300 DNAT       6    --  vmbr0  *       10.0.0.10            100.212.198.74      tcp dpt:80 to:10.0.0.10:80


Diese sollten dann an das Ziel 10.0.0.10 umgeleitet werden. Somit sollte 
eigentlich diese SNAT Regel treffen:


1
Chain POSTROUTING (policy ACCEPT 19 packets, 1176 bytes)

2
num   pkts bytes target     prot opt in     out     source               destination          

3
3        0     0 SNAT       6    --  *      vmbr0   10.0.0.10            10.0.0.10            tcp dpt:80 to:100.212.198.74


Wie zu erkennen ist, treffen hier aber keine Pakete ein.
Hat jemand eine Idee, was hier falsch sein könnte?

(Die public IPs wurden anonymisiert bzw. random verändert...)

Danke schonmal.

  


  



  

  
:
    Bearbeitet durch User
  

  


  

    Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
  








    

    

       Thread beobachten

      |
         Seitenaufteilung abschalten

    

        


Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.



  Bestehender Account

  


  
  

  
    

      

        
          
        
        
          
        
      

      

        
          
        
        
          
        
      

    


    
    
    





  Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!

  Mit Google-Account einloggen
  





  Noch kein Account? Hier anmelden.