停止IPTABLES预录制为本地IP

Question

我正在运行proxmox服务器，并通过IPTABLES将端口重定向到内部虚拟机。

我按照这里的指示，http://www.ameir.net/blog/archives/55-Running-Proxmox-behind-a-single-IP-address.html

-A PREROUTING -i vmbr0 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.4.100:22
-A PREROUTING -i vmbr0 -p tcp -m tcp --dport 2223 -j DNAT --to-destination 192.168.4.101:22
-A PREROUTING -i vmbr0 -p tcp -m tcp --dport 2224 -j DNAT --to-destination 192.168.4.104:22
-A POSTROUTING -s 192.168.4.0/24 -o vmbr0 -j MASQUERADE

我尝试在主机ip上设置端口80以重定向到虚拟机，这导致我的所有虚拟机器端口80也被重定向。

有什么办法我可以预先录制，让它忽略任何192.x.x.x地址‘吗？

Answer 1

如果您只想让主机IP的通信量到达其他地方的NATed，那么在iptables规则中使用-d选项来指定主机IP应该会有所帮助：

-A PREROUTING -i vmbr0 -p tcp -m tcp -d $HOSTIP --dport 2222 -j DNAT --to-destination 192.168.4.100:22

Answer 2

ACCEPT目标相当于NAT规则中的IGNORE。因此，为了使192.168.0.0/16 (我假设您并不是真的指192.0.0.0/8)地址不受NAT的限制，您可以说

iptables -t nat -I PREROUTING 1 -s 192.168.0.0/16 -j ACCEPT

请注意，这将使这些地址免受PREROUTING链中遵循的所有NAT规则的约束。