Eu tenho um servidor Debian 7 com 5 endereços IP públicos. No servidor, tenho vários convidados do KVM (todos do Debian 8). Um dos convidados precisa estar publicamente acessível usando um dos IPs públicos. Este tem o endereço IP 192.168.122.133
e todos os outros convidados têm IPs no intervalo 192.168.122.50/28
.
Atualmente tenho configurado para que os convidados possam se comunicar uns com os outros, no entanto conexões de entrada e saída externas falham com o convidado que precisa ser publicamente acessível (somente conexões de trabalho de rede local).
Estas são as regras que, acredito, devem encaminhar todo o tráfego de entrada e saída de e para este convidado, mas não parece estar fazendo o que deveria:
/sbin/iptables -t nat -I PREROUTING -d 111.111.111.133 -j DNAT --to 192.168.122.133
/sbin/iptables -t nat -I POSTROUTING -s 192.168.122.133 -j SNAT --to 111.111.111.133
/sbin/iptables -t filter -I FORWARD -d 192.168.122.133 -j ACCEPT
/sbin/iptables -t filter -I FORWARD -s 192.168.122.133 -j ACCEPT
Anteriormente, eu tinha essa configuração e acredito que em determinado momento ela estava funcionando corretamente, mas eu poderia ter mudado alguma coisa ou algum tipo de atualização do sistema poderia ter mudado alguma coisa e agora não está funcionando .
Mais informações:
A rede KVM está configurada:
<network>
<name>default</name>
<uuid>261764e8-ef0c-dc57-90b5-4c356ae12bf1</uuid>
<forward mode='nat'/>
<bridge name='virbr0' stp='on' delay='0' />
<mac address='52:54:00:77:D9:2B'/>
<ip address='192.168.122.1' netmask='255.255.255.0'>
<dhcp>
<range start='192.168.122.2' end='192.168.122.254' />
</dhcp>
</ip>
</network>
E as configurações de rede do convidado são assim:
<interface type='network'>
<mac address='52:54:00:61:d9:ba'/>
<source network='default'/>
<model type='virtio'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>
Aqui está meu / etc / network / interfaces no servidor host:
# The loopback network interface
auto lo
auto eth3
auto eth3:0
auto eth3:1
auto eth3:2
auto eth3:3
iface lo inet loopback
# The primary network interface
allow-hotplug eth3
iface eth3 inet static
address 111.111.111.130
netmask 255.255.255.248
network 111.111.111.128
broadcast 111.111.111.135
gateway 111.111.111.129
dns-nameservers 8.8.8.8 8.8.4.4 127.0.0.1
iface eth3:0 inet static
address 111.111.111.131
netmask 255.255.255.248
iface eth3:1 inet static
address 111.111.111.132
netmask 255.255.255.248
iface eth3:2 inet static
address 111.111.111.133
netmask 255.255.255.248
iface eth3:3 inet static
address 111.111.111.134
netmask 255.255.255.248
Os convidados estão configurados com IPs estáticos. Por exemplo:
iface eth0 inet static
address 192.168.122.133
netmask 255.255.255.0
network 192.168.122.0
broadcast 192.168.122.255
gateway 192.168.122.1
dns-nameservers 192.168.122.1
Acredito que isso é o que permite que os convidados que não devem ser acessados pela Internet acessem a Internet (adaptado de aqui ) - observe, eles estão em um intervalo de IPs ligeiramente diferente:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p tcp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -p udp -j MASQUERADE --to-ports 1024-65535
/sbin/iptables -t nat -A POSTROUTING -s 192.168.122.50/28 ! -d 192.168.122.50/28 -j MASQUERADE
/sbin/iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 192.168.122.50/28 -i virbr0 -j ACCEPT
/sbin/iptables -t filter -A INPUT -s 192.168.122.50/28 -i virbr0 -j ACCEPT