V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
eastpiger
V2EX  ›  问与答

求助: iptables SNAT 修改 source ip 不起作用

  •  
  •   eastpiger · 2017-01-23 10:43:37 +08:00 · 3142 次点击
    这是一个创建于 2890 天前的主题,其中的信息可能已经有所发展或是发生改变。

    描述一下我的问题:我想设置我的服务器发出的所有 tcp 包的 source ip 全部修改为某个特定的值。

    我现在的做法是这样的:

    sudo iptables -t nat -I POSTROUTING 1 \! -s 127.0.0.1 -p tcp \! --sport 22 -j SNAT --to 1.2.3.4
    

    期望看到的是除了 22 端口以外的其他 tcp 包发出都是来源于 1.2.3.4 的包,其他电脑连接到服务器能收到来自 1.2.3.4 的包。

    然而出现了以下的问题:

    1 、首先我能确定这个 rule 是能够 match 的,因为我访问服务器的时候,服务器“ sudo iptables -t nat -L -n --line-number -v ”看到的这条 rule 的 pkts 在增加。至少是有包经过他了的。

    2 、在服务器上 tcpdump 检查,发现本机发出去的包的 source ip 依然是服务器本身的原始 ip ,没有变成 1.2.3.4

    3 、在客户端(比如我自己的电脑)连接服务器,收到的包都是源自服务器 ip ,而不是我设定的 1.2.3.4

    所以我感觉是我的 rule 被 match 了, SNAT 似乎也是执行了,然而 source ip 却没有被修改。 google 一圈下来也没什么头绪,弄了一个通宵了,不知道有没有了解的能指点迷津

    第 1 条附言  ·  2017-01-23 13:04:59 +08:00
    iptables -L -t nat -v 如下:

    http://paste.ofcode.org/33rYXuVG4FqZrDyNsunRdpd
    第 2 条附言  ·  2017-01-23 14:46:23 +08:00
    iptables -L -t nat -v 如下:

    http://paste.ofcode.org/33rYXuVG4FqZrDyNsunRdpd
    7 条回复    2017-11-23 11:51:17 +08:00
    kingwkb
        1
    kingwkb  
       2017-01-23 11:45:03 +08:00 via iPhone
    这是要做攻击么?
    blahgeek
        2
    blahgeek  
       2017-01-23 12:04:28 +08:00 via iPhone
    把 iptables -L -t nat -v 发出来吧
    eastpiger
        3
    eastpiger  
    OP
       2017-01-23 13:02:44 +08:00
    @kingwkb 不,是因为我的上游 router 配置有误,我尝试让他至少能用。。。
    eastpiger
        4
    eastpiger  
    OP
       2017-01-23 13:04:13 +08:00
    blahgeek
        5
    blahgeek  
       2017-01-23 15:15:51 +08:00 via iPhone
    把 MASQ 规则删掉看看? SNAT 目标是不会终止的好像,会继续向下执行
    eastpiger
        6
    eastpiger  
    OP
       2017-01-23 18:14:40 +08:00
    @blahgeek 依旧。而且 MASQ 都是限制 docker 发出来的, source 在 172 开头的 ip ,我是直接在宿主机上测试的
    feather12315
        7
    feather12315  
       2017-11-23 11:51:17 +08:00
    我也遇到了这个问题,解决了吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2571 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:30 · PVG 18:30 · LAX 02:30 · JFK 05:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.