AWS インスタンスからポートと IP を取得する iptables ルール

テスト設定：2つのネットワーク名前空間ns0（外部メールサーバー）ns1（ホスト）。デフォルトのネットワーク名前空間（NAT）は転送とNATを実行します。名前空間を連結する2つのvethペア：

ns0 --->     <------ main ns ----->     <--- ns1
veth0b   --- veth0a      veth1a     --- veth1b
10.0.0.1     10.0.0.254  10.0.1.254     10.0.1.1

tcpdumpveth0aとveth1aから。 「メールサーバー」としてnc -k -l -p 9999ポート9999をリッスンします。ns0クライアントは、NATなし、デフォルトのランダムソースポートを介してnc正常に接続されます。ns1

$ echo foo | nc 10.0.0.1 9999 -q0
veth*a: IP 10.0.1.1.60560 > 10.0.0.1.9999 
veth*a: IP 10.0.0.1.9999 > 10.0.1.1.60560

ソースポートでのマッチング（驚きを避けるためにすべてのマッチングに追加しましたが-sなくても機能します-s）：

# iptables -t nat -A POSTROUTING -o veth0a -s 10.0.1.1/32 -p tcp --sport 8001 -j SNAT --to 10.0.1.81:9900
$ echo foo | nc 10.0.0.1 -p 8001 9999 -q0
veth1a: IP 10.0.1.1.8001 > 10.0.0.1.9999 
veth0a: IP 10.0.1.81.9900 > 10.0.0.1.9999
veth0a: IP 10.0.0.1.9999 > 10.0.1.81.9900
veth1a: IP 10.0.0.1.9999 > 10.0.1.1.8001

宛先ポートの一致（規則が宛先ポートを書き換えることができないため、「サーバー」に到達しません）：

# iptables -t nat -A POSTROUTING -o veth0a -s 10.0.1.1/32 -p tcp --dport 7002 -j SNAT --to 10.0.1.82:9900
$ echo bar | nc 10.0.0.1 7002 -q0
veth1a: IP 10.0.1.1.38614 > 10.0.0.1.7002 
veth0a: IP 10.0.1.82.9900 > 10.0.0.1.7002
veth0a: IP 10.0.0.1.7002 > 10.0.1.82.9900
veth1a: IP 10.0.0.1.7002 > 10.0.1.1.38614

ご覧のとおり、ソースアドレスとソースポートの両方が見事に変換されました。存在するSNAT（ソースNAT）、翻訳のみ可能源泉アドレスとポートはSが意味するもので、リンクされた文書に記載されているものです。対照的に、DNATでは以下を翻訳できます。目的地アドレスとポート。 SNATはPOSTROUTING veth0a（この設定ではオンにする必要があります）で発生し、DNATはPREROUTING（この設定ではオンにする必要があります）veth1aで発生します。したがって、これらの2つを1つのルールにまとめることはできず、PREROUTINGがPOSTROUTINGの前に発生するため、SNAT以降はDNATを実行できません。

私の考えでは、本当に欲しいものは様々なメールサーバーにアクセスすることですが、源泉標準の25ポートを別のポートと交換すると、アドレスを確認できます。目的地ポート。たとえば、mail.xxx.com:26連絡先はmail.xxx.com:25ある住所から来る必要があり、mail.xxx.com:27連絡先はmail.xxx.com:25別の住所から来る必要があります。 （スパム発送とは関係がないことを心から願っています...）したがって、送信元ポートは重要ではなく、指定された宛先ポートによって送信元アドレスが決まり、宛先ポートを再び25に変更する必要があります。これは正しいですか？その場合、natの仕組みのため、Linuxでは簡単にはできません。

スパムを処理するためにこのプログラムが必要ないと確信できる場合は、MTAソフトウェアの機能に応じて2つのより良いオプションを考えてみましょう。