Как сделать проброс портов KVM из сети internal в сеть основную

0

2

У меня виртуалки по дефолтку подключены через мост. Все работает, но из-за малого колличества свободных IP подумал о том что бы заняться пробросом портов

Сделал internal сеть Хост и гостевые системы друг друга прекрасно видят

Пробую сделать что то подобного

iptables -t nat -I PREROUTING -p tcp -d 1.2.3.4 --dport 80 -j DNAT --to-destination 10.0.0.1:80
iptables -t nat -I PREROUTING -p tcp -d 1.2.3.4 --dport 22 -j DNAT --to-destination 10.0.0.2:22
iptables -I FORWARD -m state -d 10.0.0.0/24 --state NEW,RELATED,ESTABLISHED -j ACCEPT

Или

$ sudo iptables -t nat -A PREROUTING -p tcp -i ens33 --dport 22 -j DNAT --to-destination 192.168.1.2:54045
$ sudo iptables -t nat -A POSTROUTING -j MASQUERADE

еще пробовал прописывать SNAT в POSTROUTING

Счетчик пакетов увеличивается но конекта нет. Даже telnet пишет что нет связи, (хотя не моментально отваливается а висит некоторое время)

Что может быть? Как грамтоно сделать порт форвардин для виртуальных машин?

Ссылка

←	«Marking clocksource 'tsc' as unstable because the skew is too large» + отваливается USB

как в Gentoo найти 3.3 версию OpenGL?

→

Отредактируй пост согласно https://www.linux.org.ru/help/markdown.md
Покажи выхлоп

sysctl net.ipv4.ip_forward

Dimez ★★★★★
(15.09.22 17:55:38 MSK)

Ответ на: комментарий от Dimez 15.09.22 17:55:38 MSK

sysctl net.ipv4.ip_forward - 1 конечно Я так еще разные параметры пробовал.

Может кто поделится рабочим конфигом.

Или это не так просто учитывая что у меня бридж по дефолту используется. И проще будет какой нибудь ssh port forwarding использовать?

glorsh66
(15.09.22 18:27:36 MSK) автор топика
Последнее исправление: glorsh66 15.09.22 18:28:47 MSK (всего исправлений: 2)

Ссылка

iptables -t nat -I PREROUTING -p tcp -d 1.2.3.4 --dport 22 -j DNAT --to-destination 10.0.0.2:22

А на хосте sshd не запущен?

MASQUERADE или SNAT нужен обязательно в любом случае.

Должно получиться что-то типа:

# Проброс порта. Обрати внимание на dport - именно по нему надо стучаться снаружи.
iptables -t nat -A PREROUTING -p tcp --dport 1022 -j DNAT --to-destination 10.0.0.1:22
# разрешаем проход
iptables -t filter -A FORWARD -d 10.0.0.0/24 -j ACCEPT
iptables -t filter -A FORWARD -s 10.0.0.0/24 -j ACCEPT
# Или открыть форвард политикой на время отладки
itpables -t filter -P FORWARD ACCEPT
# Обязательный построутинг, чтобы пакеты могли уйти
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE

в общем случае этого должно хватить, уточняющие правила уже по желанию.

shell-script ★★★★★
(15.09.22 18:39:13 MSK)
Последнее исправление: shell-script 15.09.22 18:39:30 MSK (всего исправлений: 1)

Как грамтоно сделать порт форвардин для виртуальных машин?

Если у тебя используется libvirt, то наиболее правильно порты пробрасывать с помощью хука.

https://github.com/dimez/libvirt-hook-qemu

Dimez ★★★★★
(15.09.22 18:59:13 MSK)

Ответ на: комментарий от Dimez 15.09.22 18:59:13 MSK

а хук разве не прост скрипт который выеолняет те же самые комманды?

glorsh66
(15.09.22 19:34:35 MSK) автор топика

Ответ на: комментарий от shell-script 15.09.22 18:39:13 MSK

имеено так делал, не работает к сожалению…

может из-за настроек сети libvirt…

glorsh66
(15.09.22 19:35:49 MSK) автор топика

Ответ на: комментарий от shell-script 15.09.22 18:39:13 MSK

Причем счетчик пакетов на iptables -t nat -A PREROUTING -p tcp –dport 1022 -j DNAT –to-destination 10.0.0.1:22

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE

увеличивается..

(но по одному-два за телнет запрос)

glorsh66
(15.09.22 19:37:06 MSK) автор топика

Ссылка

Ответ на: комментарий от glorsh66 15.09.22 19:34:35 MSK

Скрипт. Но выполняет немного грамотнее (при старте виртуалки поднимает правила, при остановке - удаляет)

Dimez ★★★★★
(15.09.22 19:37:27 MSK)

Ссылка

Ответ на: комментарий от glorsh66 15.09.22 19:35:49 MSK

Тогда показывай настройки.

На хосте и на целевой виртуалке

ip a l
ip r l
iptables -nvL
netstat -ntpl

shell-script ★★★★★
(15.09.22 19:38:32 MSK)

Ссылка

Тебе нужно делать ещё и обратные преобразования.

Ответные сообщения сейчас идут с внутренними адресами квм виртуальных машин.

Можно пойти ещё вообще другим путём делать полностью netmap то есть у тебя есть какая-то внутренняя сеть для КВм машин. Допустим 192.168.20.0/24 и ты делаешь netmap в сети допустим 192.168.100.0/24 всего адресного пространства во внутреннюю сеть.

kostik87 ★★★★★
(15.09.22 20:02:21 MSK)

Ответ на: комментарий от kostik87 15.09.22 20:02:21 MSK

В общем победил

Оказалось что - не был прописал defaut gateway на гостевой машине

добавил при помощи ip route add default via 192.168.100.1

И второе нужно было добавлять в таблицу nat в цепочку OUTPUT, по какой то приче именно через OUT put работало

sudo iptables -t nat -A PREROUTING -p tcp  --dport 2222 -j DNAT --to-destination 192.168.100.217:22
sudo iptables -t nat -A OUTPUT -p tcp  --dport 2222 -j DNAT --to-destination 192.168.100.217:22

glorsh66
(16.09.22 08:30:31 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	«Marking clocksource 'tsc' as unstable because the skew is too large» + отваливается USB

General

как в Gentoo найти 3.3 версию OpenGL?

→

Похожие темы