MASQUERADE iptables今追加されたルールのlxc一部を確認しました! -d。
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 ! -d 10.0.3.0/24 -j MASQUERADE
私の考えでは、これは-s 10.0.3.0/24 -d 10.0.3.0/24あるコンテナから別のコンテナにデータを送信するときにのみ観察できることです(ping、、命名)。sshそして、この! -d部分を省略するとパフォーマンスにのみ影響します。不明なほど。私は正しいですか?
ベストアンサー1
このルールを使用すると、同じサブネット上の2つの異なるコンテナがNATを介さずに互いに通信できます。
したがって、10.0.3.101と通信する10.0.3.100を持つコンテナは、他のコンテナにホストアドレスの代わりに10.0.3.100としてマークされます。
これは、ターゲットコンテナがソースコンテナを識別できるため、さまざまな目的(ロギングアクティビティ、アクセス制御など)に役立ちます。また、これらのコンテナにデフォルトパス(すべてローカルサブネット)が必要ないため、セキュリティの観点から有利です。
もちろん、不要なNATオーバーヘッドも削除されます!