Рейтинг:0

Iptables DNAT rule curl соединение отклонено

флаг us

После добавления следующего правила DNAT я получаю отказ в подключении при попытке завиток 172.17.1.1:9000/v1/апи:

iptables -t nat -I PREROUTING -p tcp --dst 172.17.1.1 --dport 9000 -j DNAT --назначение 172.12.11.11:8000

я прочел это пост и это post и кажется, что для curl нам нужно добавить правило OUTPUT для обратной петли? Но как это сделать для правил DNAT?

У меня есть следующие правила:

iptables -P ВХОД DROP
iptables -P ВЫХОД DROP
iptables -P УДАЛЕНИЕ ВПЕРЕД

iptables -A ВВОД -i lo -j ПРИНЯТЬ
iptables -A ВЫВОД -o lo -j ПРИНЯТЬ
Zhivko Zhelev avatar
флаг ng
у вас есть другие брандмауэры, такие как ufw? попробуйте это ```iptables -P OUTPUT ACCEPT```
lion_bash avatar
флаг us
Да, у меня есть некоторые предыдущие правила, правила брандмауэра настроены на запрет всего трафика, и мы явно разрешаем трафик. Обновил пост.
lion_bash avatar
флаг us
@ZhivkoZhelev Итак, я попытался добавить правило `iptables -P OUTPUT ACCEPT`, но все равно не сработало.Что я заметил, так это то, что изначально запрос сразу же получал сообщение об ошибке отказа в соединении, когда я скручиваюсь. Однако после добавления следующего правила вывода `iptables -t nat -I OUTPUT -p tcp --dst 172.17.1.1 --dport 9000 -j DNAT --to-destination 172.12.11.11:8000` он не сразу вернет ошибка, но теперь она зависает при "попытке 172.17.1.1...". Когда я скручиваю `172.12.11.11:8000` напрямую, это тоже работает.
Zhivko Zhelev avatar
флаг ng
iptables также использует соглашение о порядке, поэтому попробуйте удалить разрешающее правило сейчас и установить его перед правилом перенаправления, используя этот ```--set-counters x``` x - номер места
lion_bash avatar
флаг us
Понятно, поэтому я использовал `-I` для вставки, что должно вставить правило брандмауэра наверх и позволить правилу попасть в первую очередь, верно? Какое разрешающее правило вы хотели удалить `iptables -P OUTPUT ACCEPT`?
Zhivko Zhelev avatar
флаг ng
Я предполагаю, что если вы удалите эти 3 правила отбрасывания, ваш запрос будет работать, но сначала его нужно принять, и я вижу, что вы принимаете его только на петлевом интерфейсе. Поэтому я предлагаю попытаться расположить их правильно и поместить правило принятия и перенаправления в верхнюю позицию.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.