NAT / Masquerade. Estava trabalhando antes, agora não é

1

Então, por pelo menos dois meses, eu tinha uma configuração de tabelas IP que estava trabalhando em um cluster de computação para fornecer acesso à internet para computar nós que estavam tecnicamente offline, via headnode. Nós recentemente tivemos que reiniciar o headnode que eu tenho quase certeza de que a configuração estava funcionando. Eu era capaz de buscar um backup de / sysconfig / iptables e queria saber por que o iptables-restore usando este arquivo não estava funcionando ... Aqui está o conteúdo desse backup ...

# Generated by iptables-save v1.4.21 on Wed May  9 09:36:22 2018
*filter
:INPUT ACCEPT [1:36]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1294:196435]
-A INPUT -p tcp -m tcp --sport 1024:65535 --dport 372 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p udp -m udp --sport 1024:65535 --dport 372 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i lo -j ACCEPT
-A INPUT -i enp7s0f1 -j ACCEPT
-A INPUT -i enp7s0f0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -i enp7s0f0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.103.182.0/24 -i enp7s0f0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -s 10.103.182.0/24 -i enp7s0f0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -i enp7s0f0 -p tcp -m tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 8649 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 40000 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i enp7s0f0 -p tcp -m tcp --dport 0:1023 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i enp7s0f0 -p udp -m udp --dport 0:1023 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i enp7s0f0 -o enp7s0f1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp7s0f1 -j ACCEPT
COMMIT
# Completed on Wed May  9 09:36:22 2018
# Generated by iptables-save v1.4.21 on Wed May  9 09:36:22 2018
*nat
:PREROUTING ACCEPT [19:1852]
:INPUT ACCEPT [11:1496]
:OUTPUT ACCEPT [18:1302]
:POSTROUTING ACCEPT [16:1110]
-A POSTROUTING -o enp7s0f0 -j MASQUERADE
COMMIT
# Completed on Wed May  9 09:36:22 2018

Qualquer tipo de ajuda é muito apreciado.

Nota: enp7s0f0 é externo, interface pública e enp7s0f1 é interface privada interna.

    
por Kellen O'Connor 15.06.2018 / 19:45

1 resposta

0

Sua configuração iptables parece correta, mas você verificou o switch mestre de encaminhamento IPv4?

Experimente este comando:

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Se ele disser net.ipv4_ip_forward = 0 , o encaminhamento IPv4 não foi ativado. Isso é fácil de corrigir:

# echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf
# sysctl -p

Isso ativará o encaminhamento de IPv4 de maneira persistente. (Anteriormente, o encaminhamento IPv4 pode ter sido ativado por algo como echo 1 > /proc/sys/net/ipv4/ip_forward , que não persistirá durante uma reinicialização).

    
por 15.06.2018 / 20:43