端口转发 局域网数据包在桥上DNAT后无法forward

最新推荐文章于 2024-05-07 09:18:50 发布
原创 最新推荐文章于 2024-05-07 09:18:50 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #tcp/ip

本文探讨了一个端口转发的故障现象,即内网设备1通过WAN口2222访问内网设备2的5555端口时,数据包在DNAT操作后未能正确转发。问题在于内核桥接代码处理DNAT后的数据包时,没有将其传递到上层IP栈。当开启tcpdump抓包工具时,问题暂时解决。作者分析了内核源码`br_netfilter.c`中的`br_nf_pre_routing_finish`函数,并提出将条件判断语句注释掉以解决问题。该问题涉及网络路由、DNAT转换及内核桥接机制。

问题:

端口转发,内网设备2的端口5555绑定WAN端口2222。内网设备1访问WAN口端口2222,在桥上pre链执行了DNAT操作,但是数据包最终未转发到内网设备2的5555端口上。如果开启tcpdump抓包工具就正常转发,关闭后还是无法转发。

原因分析:

内核的桥代码在处理pre链上的数据包DNAT后,不会将数据包传到上层IP栈上,也就不会再过forward链。桥将DNAT后的数据包直接转发到设备2的5555端口上,此时数据包源地址IP是设备1。设备2处理完成后返回数据包的源地址是设备2目的地址是设备1,设备1收到数据包后发现数据包地址不对(设备1期望的是源地址是WAN口IP地址目的地址是设备1),设备1丢掉返回的数据包。

修改:

br_netfilter.c

static int br_nf_pre_routing_finish(struct sk_buff *skb)

if (skb_dst(skb)->dev == dev) {

修改为如下

if (0) {//(skb_dst(skb)->dev == dev) {

linux 端口数据转发,Linux iptables 端口转发
weixin_36486007的博客
04-30 891
准备:1, UDP端口范围映射2, tcp 端口范围映射3, 本机端口转发4, 单个端口转发准备:打开转发[root@CentOS ~]# cat /etc/sysctl.conf | grep net.ipv4.ip_forwardnet.ipv4.ip_forward = 1清空规则,修改默认策略,重要数据请备份[root@CentOS ~]# iptables -F -t nat[root...
iptables 防火墙 二 SNAT与DNAT
2401_83786744的博客
05-22 1199
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型(2)-i ens33 : 只抓经过接口ens33的包(3)-t : 显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)port!22 : 抓取端口是22的数据包
DNAT之后,还需要FORWARD
weixin_33728268的博客
06-02 166
在实际生产环境中,安全问题容轻视,必须相信,linux也是安全的。在iptables规则中设置的严格一些对自己的提升,对公司的利益都有好处。先阻止一切,再允许需要的规则。FORWARD 初始动作是DROP现在想做一个DNAT,用户访问123.222.111.99的8000端口可以跳转到192.168.9.100的80端口 我做了一条DNATiptables -t...
Netfilter:源IP是本机的包,会进入NF_INET_FORWARD
kanguolaikanguolaik的专栏
08-28 2121
:源IP是本机的包,会进入NF_INET_FORWARD
FTP内网映射到外网,登录成功,无法获取文件夹信息解决办法
qq_27010291的博客
03-02 3013
今天测试发现,FTP内网映射到外网,登录成功,无法获取文件夹了,这就导致平时可能在内网中没有问题的ftp这下出幺蛾子了,但是我们总是相信一句话,方法总是比问题多的。都是可以解决的。哈哈哈,这是信念。。。管遇到啥。 先上图,看下用ftp连接工具测试的结果。 那么服务器端设置,肯定做了外部防火墙设置的。映射出去的数据通道。继续上图。 看到这里,那么问题就差多解决了,这个...
Linux DNAT 实例,Linux--一个NAT+SQUID+DNATFORWARD+反弹式FIREWALL的例子
weixin_29196613的博客
05-13 147
代码:#! /bin/bash/sbin/modprobe ip_conntrack_ftp/sbin/modprobe ip_nat_ftp/sbin/iptables -F -t filter/sbin/iptables -F -t nat/sbin/iptables -P INPUT DROP/sbin/iptables -P OUTPUT ACCEPT/sbin/iptables -P F...
DNAT转换与tcpdump抓包
qq_62462797的博客
09-16 1410
DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问拓展:客户机想访问服务器时,访问的是网关地址,由网关去找服务器的内网地址。如果多台服务器使用同一个网关,那么通过同的端口号来对应同的服务器
如何在服务器192.168.6.61开放端口局域网其他电脑访问
03-01
好的,我现在需要帮助用户在服务器192.168.6.61上开放端口局域网内的其他电脑访问。用户之前问过关于telnet连接被拒绝的问题,现在可能是在同一台服务器上配置端口访问。首先,我需要考虑用户可能的需求是什么。...
如何在工控机上配置IP转发功能以支持跨局域网访问?
最新发布
06-11
为了验证IP转发功能是否正常工作,可以在办公电脑上使用ping命令测试是否能够到达摄像头所在的局域网。例如: ```bash ping <摄像头IP> ``` 如果能够成功ping通,则说明IP转发功能已正确配置。 #### 注意事项 - **...
局域网IP映射到公网后,为什么会出现同一IP端口的连接请求
06-08
当一个局域网中的设备需要通过单一公网IP访问外部网络时,NAT会通过端口转发机制来区分同的内部设备和应用服务[^3]。 #### 1. 同一IP端口连接请求的原因 在同一公网IP下,多个局域网设备或服务可以通过同的...
pandas nat_Paloalto 安全和NAT策略简单部署
weixin_39927848的博客
10-27 572
首先,写本文的目的想利用简单的LAB拓扑环境,使大家对Paloalto能够有一个简单的印象和记忆,知道它是如何进行策略部署,算是一个扫盲普及吧。当然下文还是需要有点防火墙的基础知识才能理解的。至于更详细和深入的理论,希望感兴趣的小伙伴多多查阅下面的官网。https://www.paloaltonetworks.com/ 如果想自己动手探索的小伙伴,需要自己安装PA的VM环境,具体过程...
Tun虚拟接口应用总结
生如夏莲的专栏
10-17 3334
一、实现原理 Linux内核的TUN/TAP虚拟设备,同于内核的其它设备,其发送和接收数据包都在网络协议栈内部完成,发送的数据包会离开协议栈进入到物理网络中,同样,也会接收到从物理网络中进入协议栈的数据包。 用户空间的设备节点/dev/net/tun用于读写TUN/TAP设备,内核中TUN/TAP设备在发送数据包时,将数据包发送到与/dev/net/tun文件描述符相关联的套接口...
解决iptables DNAT生效
热门推荐
CHEndorid的博客
07-05 1万+
DNAT生效,如果命令都是正确的,那么问题就出在操作完整,只做了DNAT配置的一部分。完整步骤如下 0、场景介绍 192.168.1.81:ip81服务器上,启了一个nginx,端口80 192.168.1.57:ip57服务器,在这台上添加防火墙规则,让其他服务器能够通过ip57的800端口访问ip81的web服务 192.168.1.222:ip222服务器为同一内网中的验证服务器,验证DNAT是否配置成功 1、打开内核转发功能 echo "net.ipv4.ip_forward=1"
两次DNAT端口映射)的问题验证
HCIE 数通、RHCE、HCIP 欧拉、MySQL OCP 持证工程师。
05-07 1022
Linux课程上看到,两次DNAT端口映射)会导致TCP源丢失的问题,因为本身学过网络相关的知识,理论上并未发现会在哪个节点丢失源的问题,遂实验验证。经过测试,发现两次DNAT端口映射,华为称为nat server)后,依然可以正常访问,并会出现TCP连接无法建立的情况。因为使用手头没有eve模拟器,先使用ensp路由器模拟验证,拓扑如下图。经过测试也是可以访问的,最终验证两次DNAT端口映射)是没有问题的。为进一步验证,于是搭建eve模拟器环境用liunx进行测试。
山石网科防火墙DNAT常见问题基础排查
qq_41919868的博客
03-05 6759
山石网科防火墙DNAT常见问题基础排查
网桥调用iptables规则的善后处理
redwingz的博客
06-05 3419
本文主要讲述BR_NF_PRE_ROUTING点的相关处理。Linux网桥在BR_NF_PRE_ROUTING hook点的处理上,有两个主要的执行流程:第一执行ebtables在此hook点添加的规则,第二如果PROC文件bridge-nf-call-iptables为真,执行iptables在hook点NF_INET_PRE_ROUTING配置的IPv4或IPv6协议相关规则。由于iptabl...
从SNAT/DNAT角度分析数据包流转
瑞风轻拂
12-21 4807
DNAT target     这个target是用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可以被路由到正确的主机或网络。DNAT target是非常有用的。比如,你的web服务器在LAN内部,而且没有可以在Internet上使用的真实IP地址,那就可以使用这个target让防火墙把所有到它自己HTTP端口的包
详解一次完整的数据包传输过程 -- 层层递进
wearlee的博客
10-12 3526
文章目录 例子 PC1 发送http请求到ServerStep1: PC1封装数据包Step 2: 数据到达集线器Step3: 数据到达R1Step4: 数据到达R2Step5: 交换机处理Step6: 服务器处理反向传输总结 题记:本文主要是摘自CCNA指南中讲的,再加上自己的理解,详细阐述一次完整的数据传输过程。之前在考CCIE的时候也看过,后来有些忘记,特总结记录。 读此文章之前,先弄懂下面5个基本知识点: 封装报文是从上层到下层(应用层 --> 传输层 --> ..
nat 网卡间数据包转发_网络数据包转发和接收全过程
weixin_39848347的博客
12-21 1116
Linux的网络接口分为四部分:网络设备接口,网络接口核心,网络协议族,网络接口socket层。可参考:http://lxr.linux.no/linux+v2.6.30.4/net/网络设备接口部分主要负责从物理介质接收和发送数据,实现的文件在linu/driver/net目录下面。网络接口核心部分是整个网络接口的关键部位,它为网络协议提供统一的发送接口,屏蔽各种各样的物理介质,同时有负责把来自...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值