Problema da regra de NAT de Iptables

0

Eu tenho o seguinte problema: Estou recebendo o tráfego da porta UDP 514 de um dispositivo específico, sou minha rede. Eu preciso mudar a porta de destino para 5140 sem usar -j REDIRECT .

Estou usando um aplicativo escutando na porta 10.20.20.1:5140 (10.20.20.1 é o endereço IP eth0 da mesma VM, os logs são provenientes de eth1), para fazer esse redirecionamento de porta fiz o seguinte:

$ iptables -t nat -A PREROUTING -s 100.100.200.2 -d 10.93.33.115 \
   -p udp --dport 514 -i eth1 -j DNAT --to 10.20.20.1:5140

$ iptables -t filter -A FORWARD -p udp -d 10.20.20.1 -o eth0 \
  --dport 5140 -j ACCEPT

O problema é que verificar os contadores de ocorrências de regras com:

$ iptables -t nat -nxvL

mostra que a regra não afetou nenhum pacote. Tenho certeza de que estou recebendo pacotes do endereço do dispositivo para o meu endereço na porta 514, verifiquei em tcpdump .

saída do tcpdump

12:41:56.212964 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 561
12:41:56.218514 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 547
12:41:56.218573 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 561
12:41:56.222719 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.info, length: 547
12:41:56.222773 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.info, length: 561
12:41:56.228222 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.notice, length: 540
12:41:56.228612 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.notice, length: 602
12:41:56.228657 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.notice, length: 541
12:41:56.229404 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 545
12:41:56.229434 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 559
12:41:56.230636 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 540
12:41:56.230673 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 554
12:41:56.230680 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 544
12:41:56.230687 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 558
12:41:56.232729 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.info, length: 544
12:41:56.232745 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 540
12:41:56.232768 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.info, length: 558
12:41:56.232789 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 554
12:41:56.235564 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.info, length: 545
12:41:56.235610 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.info, length: 559
12:41:56.236025 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 540
12:41:56.236072 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 554
12:41:56.236339 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 544
12:41:56.236368 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 558
12:41:56.236712 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 587
12:41:56.237477 IP 100.100.200.2.5006 > 10.93.33.115.514: SYSLOG local7.notice, length: 572
12:41:56.237492 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.notice, length: 602
12:41:56.237506 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.notice, length: 537
12:41:56.237517 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.notice, length: 523
12:41:56.237525 IP 100.100.200.2.10099 > 10.93.33.115.514: SYSLOG local7.notice, length: 572
12:41:56.240638 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 549
12:41:56.240673 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 563
12:41:56.248285 IP 100.100.200.2.5006 > 10.93.33.115.514: SYSLOG local7.notice, length: 523
12:41:56.248327 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.notice, length: 539
12:41:56.248349 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.notice, length: 529
12:41:56.253152 IP 100.100.200.2.23295 > 10.93.33.115.514: SYSLOG local7.info, length: 549
12:41:56.253189 IP 100.100.200.2.23295 > 10.93.33.115.514: SYSLOG local7.info, length: 563
12:41:56.254807 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 549
12:41:56.254853 IP 100.100.200.2.8587 > 10.93.33.115.514: SYSLOG local7.info, length: 563
^C
267 packets captured
277 packets received by filter
0 packets dropped by kernel

Estou fazendo a regra NAT errada? Há alguma etapa extra se o endereço de destino final depois que o DNAT é um endereço de outra interface da mesma VM?

    
por D Venzi 07.08.2018 / 20:21

0 respostas