Сеть из хоста в тюрьму с vimage
Обычно основным критерием для SNAT является «трафик, исходящий через данный интерфейс» (например, -o eth0 ). Какой интерфейс будет отправлен пакетом, определяется маршрутизацией, поэтому для применения этого критерия вам необходимо запустить его в контексте POSTROUTING .
DNAT перезаписывает адрес назначения пакета, что означает, что он может повлиять на то, куда идет пакет - например, пакет, который выглядит так, как будто он предназначен для шлюза, может в конечном итоге быть переписан, чтобы вместо этого перейти на машину в сети. Поскольку вы хотите, чтобы маршрутизация учитывала это переписанное место назначения при принятии решения, чтобы пакет действительно шел туда, куда ему нужно, DNAT должен выполняться в контексте PREROUTING .
Почему-то sysctl net.link.tap.up_on_open=1 не был установлен, как я думал.
Теперь все в порядке.