求助：關(guān)于pf的端口轉(zhuǎn)發(fā)

snnn

我在202.118.43.175的pf.conf中寫(xiě)了這樣一條
rdr proto tcp from any to any port 8080 -> 202.116.182.253 port 8080 round-robin sticky-address
希望把所有發(fā)到這臺(tái)服務(wù)器的8080端口的tcp請(qǐng)求都轉(zhuǎn)發(fā)到202.116.182.253這個(gè)服務(wù)器的8080端口。

然后我從165.135.153.95連接202.118.43.175的8080端口，但是，連不上。

我用pfctl -s state察看狀態(tài)，能看到這樣的東西
self tcp 202.116.182.253:8080 <- 202.118.43.175:8080 <- 165.135.153.95:34836 CLOSED:SYN_SENT

請(qǐng)問(wèn)這是為什么？

劍心通明

round-robin sticky-address 這個(gè)不要哪？你用地址池了？

snnn

本來(lái)想做，沒(méi)做成

snnn

我發(fā)現(xiàn)rdr只能轉(zhuǎn)到本地網(wǎng)卡的端口上

snnn

終于明白為什么轉(zhuǎn)發(fā)會(huì)失敗了
http://www.sunchangming.com/blog/?p=223

假設(shè)有這樣一條規(guī)則

rdr on tl0 proto tcp from 192.0.2.1 to 24.65.1.13 port 80 \
   -> 192.168.1.5 port 8000

那么如果從192.0.2.1 連接24.65.1.13 的tcp 80端口，那么首先192.0.2.1會(huì)給24.65.1.13 發(fā)一個(gè)SYN包。包頭如下

Source address: 192.0.2.1
Source port: 4028 (arbitrarily chosen by the operating system)
Destination address: 24.65.1.13
Destination port: 80
然后在經(jīng)過(guò)pf執(zhí)行rdr規(guī)則之后，包頭如下

Source address: 192.0.2.1
Source port: 4028
Destination address: 192.168.1.5
Destination port: 8000
然后這個(gè)包會(huì)從24.65.1.13某個(gè)合適的網(wǎng)卡出去（根據(jù)netstat -nr中的路由表規(guī)則而定），到達(dá)192.168.1.5這臺(tái)主機(jī)。

192.168.1.5 這臺(tái)主機(jī)會(huì)給192.0.2.1 回復(fù)一個(gè)SYN-ACK的包。如果不出意外，192.0.2.1會(huì)順利收到這個(gè)包。但是它不會(huì)理會(huì)。因?yàn)樗�試圖與24.65.1.13的80端口建立連接，但是得到的回復(fù)卻是來(lái)自于192.0.1.5。于是192.0.2.1繼續(xù)發(fā)SYN包，192.0.1.5繼續(xù)回復(fù)，直到timeout。

此時(shí)用pfctl -s state查看，會(huì)得到這樣的信息

self tcp 192.0.1.5:8000 <- 24.65.1.13:80 <- 192.0.2.1:4028       CLOSED:SYN_SENT

如果192.0.1.5的所有向外的數(shù)據(jù)都是通過(guò)24.65.1.13進(jìn)行nat出去的，那么連接就可以順利建立。因?yàn)榇藭r(shí)192.0.2.1看到的是24.65.1.13的IP。

如果轉(zhuǎn)發(fā)是在同一臺(tái)主機(jī)上發(fā)生，那么就可以看到一個(gè)有趣的現(xiàn)象，用netstat/sockstat看到的連接狀態(tài)是不對(duì)稱的。會(huì)看到一條LOCAL ADDRESS為127.0.0.1:59165 、FOREIGN ADDRESS 為127.0.0.1:80的連接而與之對(duì)應(yīng)的卻是FOREIGN ADDRESS為127.0.0.1:59165但LOCAL ADDRESS為8080的連接。原因是發(fā)生了一條從80到8080的轉(zhuǎn)發(fā)。