Encaminhar porta para convidado LXC usando UFW

4

Estou tentando encaminhar a porta 2222 no meu host 192.168.2.252 para um convidado do LXC em 10.0.3.11. Como faço isso usando o framework UFW?

Em outras palavras, quero fazer isso, mas com o framework ufw.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to 10.0.3.11:2222

Atenciosamente, MB

    
por mb21 03.11.2013 / 19:57

3 respostas

4

Adicione à parte superior do /etc/ufw/before.rules antes do *filter (parte superior do arquivo):

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to 10.0.3.11:2222
COMMIT

depois reinicie / recarregue o firewall

sudo ufw disable && sudo ufw enable

Como estamos usando outras cadeias ufw-before-*, ufw-after-* and ufw-reject-* do ufw, temos que alterar MANAGE_BUILTINS=no para MANAGE_BUILTINS=yes no arquivo '/ etc / default / ufw. Verifique este post para mais detalhes.

    
por Steve Zhan 17.03.2014 / 06:59
2

A resposta de Steve Zhan está correta, mais uma coisa a fazer se você está no Vagrant é mudar DEFAULT_FORWARD_POLICY="DROP" para DEFAULT_FORWARD_POLICY="ACCEPT" em /etc/default/ufw

    
por Slava N 26.01.2015 / 00:00
1

Existem mais algumas etapas de configuração necessárias para permitir o fluxo geral do tráfego; simplesmente adicionando as linhas de pré-roteamento são insuficientes.

Supondo que suas regras do UFW já não estejam altamente modificadas, o seguinte deve ser suficiente:

Na parte superior de /etc/ufw/before.rules , antes da seção *filter

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -i enp0s8 -p tcp --dport 2222 -j DNAT --to 10.0.3.11:2222
COMMIT

E perto do final, antes da% finalCOMMIT:

-A FORWARD -o lxcbr0 -j ACCEPT
-A FORWARD -i lxcbr0 -j ACCEPT

-A INPUT -p udp --dport 53 -i enp0s8 -m state --state NEW -j ACCEPT
-A INPUT -p tcp --dport 53 -i enp0s8 -m state --state NEW -j ACCEPT
-A INPUT -p udp --dport 67 -i enp0s8 -m state --state NEW -j ACCEPT
-A INPUT -p tcp --dport 67 -i enp0s8 -m state --state NEW -j ACCEPT

E também, no /etc/ufw/after.rules , novamente antes da seção *filter que você precisa

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE
COMMIT
    
por taifwa 04.04.2017 / 11:24