iptables, туземные не, работают на sctp
у меня есть сервер во внутренней сети, и я хочу получить доступ к ней от внешнего.
сеть похожа на это: Сервер (132.196.28.229) находится в Сервере внешней сети B (10.35.202.24), может сервер доступа оба сетевых сервера C (192.168.10.99) быть во внутренней сети
Так, я настраиваю iptables на Сервере B для передачи всего трафика с Сервера к Серверу C
iptables -t nat -A PREROUTING -d 10.35.202.24 -j DNAT --to-destination 192.168.10.99
Затем я тестирую его с ping, и это работает. Tcpdump на Сервере B, Вы видите ping с Сервера A, и цель 10.35.202.24:
15:34:36.366034 IP 132.196.28.229 > 10.35.202.24: ICMP echo request, id 24510, seq 1, length 64
15:34:37.366321 IP 132.196.28.229 > 10.35.202.24: ICMP echo request, id 24510, seq 2, length 64
15:34:38.374983 IP 132.196.28.229 > 10.35.202.24: ICMP echo request, id 24510, seq 3, length 64
15:34:39.374849 IP 132.196.28.229 > 10.35.202.24: ICMP echo request, id 24510, seq 4, length
и Tcpdump на Server C. теперь целевой адрес изменяется на 192.168.10.99:
15:34:35.741802 IP 132.196.28.229 > 192.168.10.99: ICMP echo request, id 24510, seq 1, length 64
15:34:36.742018 IP 132.196.28.229 > 192.168.10.99: ICMP echo request, id 24510, seq 2, length 64
15:34:37.750633 IP 132.196.28.229 > 192.168.10.99: ICMP echo request, id 24510, seq 3, length 64
15:34:38.750499 IP 132.196.28.229 > 192.168.10.99: ICMP echo request, id 24510, seq 4, length 64
но, та же передача не работает на сообщение SCTP. Вот сообщение INIT, которое я инициировал с Сервера A:
15:39:18.787145 IP 132.196.28.229.32763 > 10.35.202.24.36412: sctp (1) [INIT] [init tag: 495530240] [rwnd: 62464] [OS: 64] [MIS: 64] [init TSN: 322647100]
15:39:18.787189 IP 10.35.202.24 > 132.196.28.229: ICMP 10.35.202.24 protocol 132 unreachable, length 76
15:39:21.786640 IP 132.196.28.229.32763 > 10.35.202.24.36412: sctp (1) [INIT] [init tag: 495530240] [rwnd: 62464] [OS: 64] [MIS: 64] [init TSN: 322647100]
15:39:21.786687 IP 10.35.202.24 > 132.196.28.229: ICMP 10.35.202.24 protocol 132 unreachable, length 76
И я ничего не могу получить на Сервере C для sctp. Похож на это, NAT для sctp не работает, и из-за сервера B не имеют никакого sctp сервиса на. так сервер B отвечают как недостижимые.
Я протестировал ssh также. Передача работает хорошо. таким образом, это выглядит только не рабочим для SCTP!!??
Какое-либо предложение, почему это происходит? какое-либо специальное предложение, настраивают для sctp, который я пропустил?
Я думаю, вы уже установили SCTP, если да, то вам, вероятно, не хватает модуля nf_conntrack_proto_sctp . Этот модуль необходим iptables для работы с SCTP.
Попробуйте следующее:
# modprobe nf_conntrack_proto_sctp
Вы можете проверить, разрешив порт SCTP. Здесь могут работать первые сообщения INIT ad INIT-ACK. Обратите внимание, что другой узел отправляет свой IP-адрес в полезной нагрузке SCTP INIT-ACK. Пожалуйста, проверьте больше
https://www.cspsprotocol.com/sctp-protocol-basic-and-advance-sctp-concepts/