ローカルホストからのDNAT（127.0.0.1）

これは私にとってはうまくいき、トラフィックをlocalhost:8081から172.17.0.1:80にルーティングします。ここで、172.17.0.1はdocker0という名前のブリッジインターフェイスの背後にあるvethです。

sysctl -w net.ipv4.conf.docker0.route_localnet=1
iptables -t nat -A OUTPUT -o lo -p tcp -m tcp --dport 8081 -j DNAT --to-destination 172.17.0.1:80
iptables -t nat -A POSTROUTING -o docker0 -m addrtype --src-type LOCAL --dst-type UNICAST -j MASQUERADE

パズルの重要な部分はMASQUERADEルールです。

さらなるインスピレーション：

• ローカルホストトラフィックをiptablesを使用してリモートホストに転送するにはどうすればよいですか？
• ループバックからのiptables DNAT
• https://github.com/docker/docker/pull/681

これを機能させるには、次の3つのコマンドを実行する必要があります。

iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 4242 -j DNAT --to 11.22.33.44:5353
sysctl -w net.ipv4.conf.eth0.route_localnet=1
iptables -t nat -A POSTROUTING -p tcp -s 127.0.0.1 -d 11.22.33.44 --dport 5353 -j SNAT --to $your-eth0-ip

詳細な説明は次のとおりです。

最初のコマンドは、期待どおりにDNATを実行します。ただし、このルールセットのみを使用してパケットをキャプチャしようとすると、何も得られないことがわかります。

tcpdump -i any -n port 5353

これは、パケットの一方の端が127.0.0.0/8で、もう一方の端が外部IPアドレスである場合、Linuxカーネルがデフォルトでこの種のパケットをドロップするためです。

2番目のコマンドは、カーネルパラメータを変更して、この種のパケットを通過させます（もちろん、それに応じてeth0を変更する必要があります）。この後、eth0でパケットをキャプチャすると、送信されたパケットが表示されますが、送信元アドレスは127.0.0.1、宛先アドレスは11.22.33.44です。このパケットがターゲットサーバーに到達できるかどうか（中間ルーターはこのパケットをドロップします）、このパケットを返す方法はありません。したがって、送信元アドレスをeth0に変更するには、SNATルールを追加する必要があります。そして今、それは機能するはずです。

あなたが必要とするのはこのようなものですか？ ローカルホストでiptablesポートリダイレクトが機能しない

iptables -t nat -I OUTPUT -p tcp -d 127.0.0.1 --dport 443 -j REDIRECT --to-ports 8080

エイドリアン