VPN에서 일부 패킷을 라우팅하기 위해 도커 컨테이너에 프록시 서버를 설정하려고 합니다(일부 사이트는 VPN의 IP에 응답하지 않으며 국가가 잠겨 있습니다). 이를 위해 도커 컨테이너 인터페이스와 주고받는 패킷에 태그를 지정해 보았습니다.
내 PC의 물리적 네트워크 인터페이스 br-43cb854b8af8이름은 입니다 enp3s0. 표준 docker 브리지 인터페이스도 있으며 docker0네트워크는 172.17.0.0/16이므로 iptables 규칙에 포함되어 있지만 사용되지 않습니다.
PC 시작시 raw 테이블과 mangle 테이블은 비어있고,
필터 테이블:
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-43cb854b8af8 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-43cb854b8af8 -j DOCKER
-A FORWARD -i br-43cb854b8af8 ! -o br-43cb854b8af8 -j ACCEPT
-A FORWARD -i br-43cb854b8af8 -o br-43cb854b8af8 -j ACCEPT
-A DOCKER -d 172.18.0.2/32 ! -i br-43cb854b8af8 -o br-43cb854b8af8 -p tcp -m tcp --dport 3128 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-43cb854b8af8 ! -o br-43cb854b8af8 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-43cb854b8af8 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
NAT 테이블:
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N DOCKER
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-43cb854b8af8 -j MASQUERADE
-A POSTROUTING -s 172.18.0.2/32 -d 172.18.0.2/32 -p tcp -m tcp --dport 3128 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER -i br-43cb854b8af8 -j RETURN
-A DOCKER ! -i br-43cb854b8af8 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 172.18.0.2:3128
문제는 내가 추가하면
iptables -t mangle -A PREROUTING -i br-43cb854b8af8 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i enp3s0 -s 172.18.0.0/16 -j MARK --set-mark 1
프록시 서버에서 나가는 패킷을 표시하기 위해 두 번째 규칙은 어떤 패킷에도 적용되지 않지만 첫 번째 규칙은 적용되며 masquerading through enp3s0도 적용됩니다. 즉, 패킷은 정상적으로 작동하지만
iptables -t mangle -A PREROUTING -i enp3s0 -s 172.18.0.0/16 -j MARK --set-mark 1
어떤 이유로 규칙이 적용되지 않습니다. VPN이 켜져 있지 않거나 기본 IP 라우팅 또는 규칙 이외의 규칙이 적용되지 않았습니다.
답변1
첫째, 질문의 의견에서 답변했듯이 -i는 패킷이 인터페이스에서 수신되었음을 의미하므로 두 번째 규칙은 적용되지 않습니다 enp3s0. 따라서 프록시에서 나가는 모든 패킷을 표시하려면 첫 번째 규칙으로 충분합니다. 들어오는 패킷에 대해 동일한 작업을 수행하려면 다음을 추가해야 합니다.
iptables -t mangle -A FORWARD -i enp3s0 -d 172.18.0.0/16 -j MARK --set-mark 1
이제 들어오고 나가는 모든 패킷에 br-43cb854b8af8태그가 지정되고(브라우저에서 프록시로 전송되는 패킷) 이것이 시간별로 설정된 경로입니다.
첫 번째 명령 세트는 다음과 같습니다.
ip rule add to 172.18.0.0/16 pref 100 table 1
ip rule add fwmark 0x0001 pref 101 table 1
ip route add table 1 to 172.18.0.0/16 dev br-43cb854b8af8
브라우저에서 들어오는 트래픽과 프록시에서 Docker 네트워크로 직접 들어오는 트래픽을 허용합니다. VPN이 자체 규칙도 설정하고 위 규칙이 패킷에 적용되지 않는 경우에만 이러한 규칙을 확인하려고 하기 때문에 pref 옵션이 사용됩니다.
두 번째 명령 세트는 다음과 같습니다.
ip rule add fwmark 0x0001 pref 102 table main
패킷에 태그가 지정되어 있고 Docker의 네트워크로 가지 않는 경우(즉, Docker의 네트워크에서 나온다는 의미) VPN 규칙을 우회하고 VPN이 필요하지 않은 표준 경로로 이동하도록 설정합니다.
최종 스크립트
#!/bin/sh
iptables -t mangle -A PREROUTING -i br-43cb854b8af8 -j MARK --set-mark 1
iptables -t mangle -A FORWARD -i enp3s0 -d 172.18.0.0/16 -j MARK --set-mark 1
ip rule add to 172.18.0.0/16 pref 100 table 1
ip rule add fwmark 0x0001 pref 101 table 1
ip route add table 1 to 172.18.0.0/16 dev br-43cb854b8af8
ip rule add fwmark 0x0001 pref 102 table main
ip route flush cache