NAT가 포트 리디렉션을 활성화한 후 Mysql 사용자는 게이트웨이 IP에서 연결합니다.

"LAN" 브리지(vmbr1)와 "WAN" 브리지(vmbr0)가 있는 가상화 호스트에 두 개의 컨테이너가 있습니다.

가상화 호스트는 vmbr0 브리지의 공용 IP로 구성됩니다(가상 123.123.123.123으로 가정).

이 가상화 호스트에는 두 개의 컨테이너가 있습니다.

• 네트워크 컨테이너(10.1.0.210/24)
• 데이터베이스 컨테이너(10.1.0.250/24)

웹 컨테이너는 mysql 데이터베이스를 사용합니다. 10.1.0.250:3306으로 접속하도록 구성되어 있습니다.

mysql에는 웹 호스트(10.1.0.210)의 연결만 허용하는 웹 애플리케이션 사용자가 있습니다.

NAT 규칙(WAN으로부터의 연결을 허용해야 함)을 추가하기 전까지는 모든 것이 잘 작동했습니다. 이것은 내 /etc/network/interfaces vmbr1(LAN) 구성에서 가져온 것입니다.

# there is no need to add -m multiport here, these rules are from my "template"
# post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport --dport 3306 -j DNAT --to-destination 10.5.0.250
# post-up iptables -t nat -A POSTROUTING -o vmbr1 -p tcp -m multiport --dport 3306 -d 10.5.0.250 -j SNAT --to-source 10.5.0.1
# pre-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp -m multiport --dport 3306 -j DNAT --to-destination 10.5.0.250
# pre-down iptables -t nat -D POSTROUTING -o vmbr1 -p tcp -m multiport --dport 3306 -d 10.5.0.250 -j SNAT --to-source 10.5.0.1

문제는 iptables에 다음 규칙을 추가할 때입니다.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp -m multiport --dport 3306 -j DNAT --to-destination 10.5.0.250
iptables -t nat -A POSTROUTING -o vmbr1 -p tcp -m multiport --dport 3306 -d 10.5.0.250 -j SNAT --to-source 10.5.0.1

웹 애플리케이션이 연결을 시도할 때 mysql에서 로그인 오류가 발생하여 웹 애플리케이션이 작동을 멈췄습니다. mysql 관점에서 연결은 실제 10.1.0.210(mysql 사용자)이 아닌 10.1.0.1 주소(LAN 측 게이트웨이)에서 이루어집니다.[이메일 보호됨]연결이 허용되지만 사용자는[이메일 보호됨]허용되지 않음).

이는 이제 포트 3306에 대한 모든 연결이 NAT를 통과하고 NAT가 10.1.0.210을 10.1.0.1로 변환하기 때문인 것 같습니다.

이 문제를 어떻게 해결할 수 있나요?

아마도 이러한 nat 규칙을 "좁혀" WAN에서만 연결이 이루어질 때만 작동하도록 해야 할 것입니다. 그러나 프로덕션 서버에서 이를 망칠 만큼 네트워킹 및 iptables에 대해 충분히 알지 못합니다.