使用nftables示例的典型端口转发

我想使用ssh连接到服务器1.2.3.4托管的虚拟VM。 VM的IP为10.10.10.100。

“ nft列表规则集”打印：

表inet过滤器{
    链式输入{
        类型过滤器挂钩输入优先级0；政策下降；
        iif“ lo”接受评论“接受任何本地主机流量”
        ct状态无效的删除注释“删除无效的连接”
        ct状态已建立，相关接受评论“接受来自我们的流量”
        ip6 nexthdr ipv6-icmp icmpv6类型{目的地不可达，数据包太大，超时，参数问题，mld-listener-query，mld-listener-report，mld-listener-done，nd-router-solicit， nd-router-advert，nd-neighbor-solicit，nd-neighbor-advert，ind-neighbor-solicit，ind-neighbor-advert，mld2-listener-report}接受注释“ Accept ICMPv6”
        ip协议icmp icmp类型{目的地不可达，路由器广告，路由器请求，时间超过，参数问题}接受注释“接受ICMP”
        ip协议igmp接受注释“接受IGMP”
        tcp dport ssh接受注释“在端口22上接受SSH”
        tcp dport {http，https，8008，http-alt}接受评论“接受HTTP（端口80、443、8008、8080）”
    }
    前进链{
        类型过滤器挂钩的转发优先级为0；政策下降；
    }
    链输出{
        类型filter hook输出优先级为0；政策接受；
    }
}
表ip nat {
    链式输入{
        类型nat hook输入优先级0；政策接受；
        计数器数据包3字节180
    }
    链前路由{
        键入nat钩优先级为-101;政策接受；
        计数器数据包12字节2122
        dnat到tcp dport映射{10100：10.10.10.100}：tcp dport映射{10100：ssh}
    }
    链后路由{
        键入nat hook路由后优先级0；政策接受；
        snat到ip saddr映射{1.2.3.4：10.10.10.100}
    }
}

“ nmap -p10100 1.2.3.4”说：10100 / tcp过滤了itap-ddtp

“ ssh 1.2.3.4”有效。

在服务器上“ ssh 10.10.10.100”起作用

“ sysctl net.ipv4.ip_forward”打印“ net.ipv4.ip_forward = 1”

最佳答案

我的问题是virt-manager和nftables不兼容。 virt-manager使用iptables。 可能有解决方案。 对我而言，使用virt-manager比使用nftables更重要。

virt-manager支持firewalld。所以我“必须”学习firewalld（：