MASQUERADE iptables방금 추가된 규칙 의 lxc일부를 확인했습니다 ! -d.
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE
내 생각에 이것은 -s 10.0.3.0/24 -d 10.0.3.0/24한 컨테이너에서 다른 컨테이너로 데이터를 보낼 때만 관찰될 수 있는 것입니다( ping, , 이름 지정). ssh그리고 이 ! -d부분을 생략하면 성능에만 영향을 줍니다. 알 수 없는 정도로. 내가 맞나요?
답변1
이 규칙을 사용하면 동일한 서브넷에 있는 두 개의 서로 다른 컨테이너가 NAT를 거치지 않고 서로 통신할 수 있습니다.
따라서 10.0.3.101과 통신하는 10.0.3.100이 있는 컨테이너는 다른 컨테이너에 호스트 주소 대신 10.0.3.100으로 표시됩니다.
이는 대상 컨테이너가 소스 컨테이너를 식별할 수 있기 때문에 다양한 목적(예: 로깅 활동, 액세스 제어)에 유용합니다. 또한 이러한 컨테이너에 기본 경로(모두 로컬 서브넷임)가 필요하지 않으므로 보안 관점에서 유리합니다.
물론, 불필요한 NAT 오버헤드도 제거됩니다!