内容提要
最近发现服务器访问日志中的IP都是内网IP,经过排查发现是socat工具导致的。尝试使用iptables解决,但发现不行。关闭openclash后一切正常,增加iptables规则后可以正常响应http请求,但获取的来源IP变成了宿主机的内网IP。经过分析发现是openclash内核导致的。尝试让流量不经过内核,成功解决问题。但后续发现内部服务无法访问,解决办法是增加NAT回环规则。总结使用socat进行端口转发会导致http server无法正确获取来源IP,在部署了openclash的内网NAT环境下,正确使用iptables进行端口映射需要配置不经过内核的源端口流量,并增加端口转发规则和NAT回环规则。
关键要点
-
服务器访问日志中的IP都是内网IP,问题由socat工具引起。
-
尝试使用iptables进行解决,但未能成功。
-
关闭openclash后,问题得到解决,获取的源IP为真实IP。
-
增加iptables规则后,HTTP请求正常响应,但来源IP变为宿主机内网IP。
-
分析发现openclash内核导致流量处理不一致。
-
通过tcpdump观察数据包,发现客户端与服务端握手成功,但收到RST包。
-
解决方案是让流量不经过clash内核,并在openclash中设置不经过内核的源端口流量。
-
增加NAT回环规则以确保内部服务可以访问。
-
总结:使用socat进行端口转发会导致HTTP服务器无法正确获取来源IP,需配置iptables和NAT回环规则。
延伸问答
socat工具如何影响HTTP服务器的IP获取?
socat工具会改变来源的端口IP,导致HTTP服务器无法正确获取真实的来源IP。
关闭openclash后,问题有什么变化?
关闭openclash后,HTTP服务器能够正常获取真实的来源IP。
如何使用iptables解决socat导致的问题?
需要配置iptables规则,确保流量不经过openclash内核,并增加NAT回环规则。
为什么增加iptables规则后来源IP变为宿主机内网IP?
因为流量经过openclash内核处理,导致返回的来源IP被替换为宿主机的内网IP。
如何配置不经过内核的源端口流量?
在openclash的访问控制中设置不经过内核的源端口流量,例如80和443端口。
NAT回环规则的作用是什么?
NAT回环规则确保内部服务能够正常访问外部IP,避免流量被错误处理。