Прямой трафик по конкретному сетевому интерфейсу для конкретного хоста

Question

Этот аппарат имеет два интерфейса: eth0 и eth1. Существует шлюз по умолчанию на eth0:

Destination  Gateway   Genmask   Flags Metric Ref Use Iface 
default   10.0.2.1  0.0.0.0   UG 0  0  0 eth0 
10.0.2.0  *    255.255.255.0 U  0  0  0 eth0 
10.0.2.0  *    255.255.255.0 U  0  0  0 eth1 

Мне нужно установить правила с iptables проксировать весь входящий трафик на eth1 к 10.0.1.1.

Обратите внимание, что eth0 связан со статическим IP-адресом 10.0.2.2, а eth1 - динамический.

Существует руководство по port forwarding with netfilter, в котором объясняется, как это сделать в несколько более простой настройке, но я не могу понять, как перейти от их примера к моему.

Answer 1

Опираясь на the link вы указали, за исключением using the conntrack module rather than the state module:

# Activate forwarding 
echo 1 > /proc/sys/net/ipv4/ip_forward 
# Forward packets coming in from the outside 
iptables -t nat -A PREROUTING -p tcp -i eth1 -j DNAT --to-destination 10.0.1.1 
# Make responses on the internal network go through the firewall 
iptables -t nat -A POSTROUTING -p tcp -d 10.0.1.1 -j SNAT --to-source 10.0.2.2 
# Allow forwarded packets 
iptables  -A FORWARD  -p tcp -d 10.0.1.1 -j ACCEPT -m conntrack --ctstate NEW,ESTABLISHED,RELATED 

Чтобы отключить reverse path filtering в ядре, выполните действия, описанные here. Я думаю, что в вашем случае достаточно было бы изменить значение net.ipv4.conf.eth1.rp_filter на 0 через .
Обратите внимание, что это обходное решение представляет собой небольшое отверстие для безопасности. Лучшим подходом было бы изменение самой структуры сети.