本文共 1610 字，大约阅读时间需要 5 分钟。

数据包源地址修改研究实践记录

实践环境一

系统配置

• 操作系统：CentOS 7.2
• Docker版本：1.12.6
• 网络设备：CentOS 7.2 + Docker 1.12.6

Docker配置

• 关闭firewalld：

  systemctl stop firewalld

• 设置SELinux为Permissive模式：

  setenforce 0

• 修改Dockerdaemon.json：

  {  "userland-proxy": true}

• 创建容器：

  docker run -itd --name python --network bridge -p 8000:9999/udp --entrypoint bash python:2.7.15

容器程序

#!/usr/bin/env python# -*- coding: utf-8 -*-import sockets = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)s.bind(('0.0.0.0', 9999))print('Bind UDP on 9999...')while 1:    data, addr = s.recvfrom(1024)    print(f'addr: {addr}, data: {data}')

实践过程分析

一、通过另一台主机发送数据包

• 发送数据包：

  echo mac | nc -s 192.168.84.79 -p 42731 -u 192.168.84.75 8000

• 抓包分析：
  • 主机网卡（eno16777984）：无内容
  • 物理网卡（eno16777984）：收到数据包
  • Docker0：收到数据包
  • 容器网卡（vethc4d778f）：收到数据包
• NAT表对比：
  • 发送前：无修改
  • 发送后：数据包源地址、源端口与目的地址、目的端口发生变化

二、本机通过IP地址发送数据包

• 发送数据包：

  echo mac | nc -s 192.168.84.75 -p 34191 -u 192.168.84.75 8000

• 抓包分析：
  • 物理网卡（eno16777984）：无内容
  • Docker0：收到数据包
  • 容器网卡（vethc4d778f）：收到数据包
• NAT表对比：
  • 发送前：数据包未修改
  • 发送后：数据包源地址、源端口与目的地址、目的端口发生变化

三、本机通过127.0.0.1发送数据包

• 发送数据包：

  echo mac | nc -s 127.0.0.1 -p 33089 -u 127.0.0.1 8000

• 抓包分析：
  • 物理网卡（eno16777984）：无内容
  • Docker0：收到数据包
  • 容器网卡（vethc4d778f）：收到数据包
• NAT表对比：
  • 数据包经过POSTROUTING链，源地址被修改为172.17.0.1

四、通过容器IP地址发送数据包

• 发送数据包：

  echo mac | nc -s 172.17.0.1 -p 42883 -u 172.17.0.2 9999

• 抓包分析：
  • Docker0：收到数据包
  • 容器网卡（vethc4d778f）：收到数据包
• NAT表对比：
  • 数据包源地址被修改为172.17.0.1

总结

通过实验发现：

建议：

转载地址：http://ijkfk.baihongyu.com/