iptables -A PREROUTING -t mangle -i eth1 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffffiptables -A PREROUTING -t mangle -i eth2 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0x...
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER # OUTPUT链添加规则:目标地址不是回环地址且目标地址类型属于本地网络类型的数据包交给DOCKER链处理 -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER # POSTROUTING链添加规则:来自172.17.0.0/16且目标地址不是docker0网段的数据...
在PREROUTING中,对于所有源地址、目的地址、网络协议的包进行地址匹配,如果匹配本地地址类的,就进入自定义的DOCKER链,注意,本地地址类可以不局限于127.0.0.0/8,而是包括所有本地监听的、分配的地址,例如docker容器中常用的172开头的那些地址,具体可以通过ip route show table local type local看到 在OUTPUT链中,对所...
# iptables -t nat -nvL --lineChainPREROUTING(policyACCEPT5packets,541bytes)num pkts bytes target prot optinoutsource destination12120DOCKERall--**0.0.0.0/00.0.0.0/0ADDRTYPEmatch dst-typeLOCALChainINPUT(policyACCEPT5packets,541bytes)num pkts bytes target prot optinoutsource destinationChainOUTPUT(policy...
ADDRTYPE match dst-type LOCAL: 表示目的地址仅为本地回环时命中该条件。MASQUERADE: 用于POSTROUTING,基于SNAT的源地址动态映射为本地eth0地址。MARK: 标记报文并继续执行当前规则链。RETURN: 终止当前规则链,执行下一条。DNAT: 用于PREROUTING,目标地址TCP头部ip内容替换为映射地址。RELATED,ESTABLISHED,NEW: NEW表示...
[!] --dst-type type,如果目标地址是给定类型的,则匹配。 --limit-iface-in,地址类型检查可以限制在数据包即将进入的接口上。此选项仅在PREROUTING、INPUT和FORWARD链中有效。它不能用“--limit-iface-out “选项来指定。 --limit-iface-out,地址类型检查可以限制在包将要输出的接口上。此选项仅在POSTROUTING、...
# iptables -t nat -A PREROUTING -p tcp -d202.45.23.67--dport80-j DNAT --to-destination192.168.1.1-192.168.1.102[root@CloudGame mytool]# iptables -t nat -L3Chain PREROUTING (policy ACCEPT)4target prot opt source destination5DOCKER all -- anywhere anywhere ADDRTYPE match dst-type LOCAL6...
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER # 如果请求的目标地址不匹配 127.0.0.0/8, 并且目标地址属于本机地址, 那么将请求跳转到 DOCKER 链处理 -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER # 对于来自于 172.17.0.0/16 的请求, 目标地址不是 docker0 所在...
-d127.0.0.0/8-m addrtype--dst-type LOCAL-j DOCKER-A POSTROUTING-s172.17.0.0/16!-o docker0-j MASQUERADE-A POSTROUTING-s172.17.0.1/32-d172.17.0.1/32-p tcp-m tcp--dport80-j MASQUERADE-A DOCKER!-i docker0-p tcp-m tcp--dport3001-j DNAT--to-destination172.17.0.1:80COMMIT# Completed...
# Generated by iptables-save v1.8.8on Mon Dec1214:48:162022*nat:PREROUTINGACCEPT[0:0]:INPUTACCEPT[0:0]:OUTPUTACCEPT[1:40]:POSTROUTINGACCEPT[1:40]:DOCKER-[0:0]-APREROUTING-m addrtype--dst-typeLOCAL-jDOCKER-AOUTPUT!-d127.0.0.0/8-m addrtype--dst-typeLOCAL-jDOCKER-APOSTROUTING-s172.18...