Понимание правила snat в iptables из openstack
This is less of an OpenStack question and more of an iptables question. Consider the following chain in the NAT table
Chain nova-network-POSTROUTING (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- any any 172.16.100.0/24 10.128.0.223
0 0 ACCEPT all -- any any 172.16.100.0/24 172.16.100.0/24 ! ctstate DNAT
0 0 SNAT all -- any any 172.16.100.6 anywhere ctstate DNAT to:10.128.0.161
Can anyone tell me what 1) the "! ctstate DNAT" means in the second rule and 2) the "ctstate DNAT to:10.128.0.161" means in the 3rd rule
Thanks
Чтобы проверить правильность работы псевдонима, вы можете попробовать сначала напрямую проверить свой MySQL .
Из вашего журнала я не вижу никаких попыток доставки в ваш почтовый ящик
Выберите goto из псевдонима
Для псевдонима вы должны увидеть что-то вроде этого в своем журнале
29 06:46:59 mail postfix/local[15339]: A8967BF907: to=<yourmailbox@domain.com>, orig_to=<youralias@domain.com>, relay=local, delay=1.1, delays=1/0.02/0/0.11, dsn=2.0.0, status=sent (delivered
Посмотрев свой журнал, вы увидите, что он псевдоним вашего адреса Gmail
Отредактировано Я прочитал ваш комментарий и смоделировал тот же сценарий. Если бы вы проследили свой поток, вы должны были увидеть в своем журнале следующее:
Jun 29 08:15:31 mail postfix/qmgr[9259]: D803DC04BD: from=<someone@gmail.com>, size=741, nrcpt=2 (queue active)
Jun 29 08:15:31 mail postfix/smtpd[18918]: disconnect from micro.sg[128.199.136.21] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jun 29 08:15:31 mail dovecot: lda(someone@domain.com): msgid=<ee6c9f45452e0afa0b7028fccc380362@domain.com>: saved mail to INBOX
Jun 29 08:15:31 mail postfix/pipe[18984]: D803DC04BD: to=<name@domain.com>, orig_to=<alias@domain.com>, relay=dovecot, delay=0.06, delays=0.01/0.01/0/0.03, dsn=2.0.0, status=sent (delivered via dovecot service)
Jun 29 08:15:33 mail postfix/smtp[18941]: D803DC04BD: to=<your-personal@gmail.com>, orig_to=<alias@domain.com>, relay=gmail-smtp-in.l.google.com[74.125.200.27]:25, delay=1.4, delays=0.01/0/0.87/0.49, dsn=2.0.0, status=sent (250 2.0.0 OK 1467202533 f205si352653oib.152 - gsmtp)
Jun 29 08:15:33 mail postfix/qmgr[9259]: D803DC04BD: removed
обратите внимание, что было 2 разных вызова и доставки smtp. Не могли бы вы проверить и убедиться, что ваша доставка в локальный почтовый ящик проверена администратором постфикса. См. Postfixadmin -> Виртуальный список -> Почтовый ящик -> Псевдоним. Вы должны установить флажок "Доставить в локальный почтовый ящик"
. Если вы установили флажок выше, значит, это другой набор проблем.
-121--272197-Первое правило использует расширение отслеживания соединений ctstate и инвертирует протокол динамической трансляции сетевых адресов! - Я считаю, что правила говорят, что когда источник находится в 172.16.100.0/24, а пункт назначения - та же сеть, не используйте NAT для источника (так что, если это виртуальный маршрутизатор, тогда это будут предложения dhcp и тому подобное, также любой хост для связи между хостами в этой подсети) - вторая часть 172.16.100.6 куда угодно должна быть динамически преобразована через NAT к 10.128.0.161. Итак, если 172.16.100.6 - это внешний маршрутизатор openstack, модуль conntrack будет соответствовать правилу 2 для внутреннего трафика и правилу 3 для всего остального, т.е. маршрутизатор и хосты всегда будут сначала соответствовать правилу 2 для внутреннего трафика, но один хост будет иметь его источник. NAT'ed, когда он покидает сегмент, или, другими словами, прокси-сервер, поскольку маршрут по умолчанию, скорее всего, 172.16.100.6.