Как включить стандартную горизонтальную строку меню окна в KDE Plasma?

I want to redirect all traffic generated inside a docker container itself over proxy, to not exposure dock machines public IP.

Если это все, что вам нужно, вам не нужен NAT между двумя экземплярами Docker.

Вам необходимо включить переадресацию на экземпляре proxy(, например. через sysctl ).

Если общедоступный IP-адрес proxyвиден внутри proxy, вам необходимо выполнить SNAT с этим общедоступным IP-адресом внутри proxy, только (, а не dock). Это также называется МАСКАРАД. Это стандартная установка, погуглите "masquerade".

Если общедоступный IP-адрес proxyне виден внутри proxy(, т. е. указан, когда вы выполняете ip addr), потому что хостproxy(или даже какой-то другой хост выше )выполняет NAT, тогда вам следует избегать двойного NAT и сделать так, чтобы dockотображался для хоста как другой контейнер. Детали зависят от того, как настроена сеть на хосте (, который вы не назвали ), но в основном конец туннеля в dockдолжен иметь IP-адрес в той же подсети, что и контейнеры на proxy. ] хозяин.

Туннель ipipне зашифрован; вы не должны использовать этот туннель, если транспорт полностью не находится внутри доверенной сети (, что, вероятно, не так, потому что вам, похоже, нужны разные общедоступные IP-адреса ).Поэтому используйте OpenVPNили простые в настройке альтернативы, такие как tinc . Libreswanнастроить не так-то просто.

Редактировать

Шаг -на -шаг:

1 )Убедитесь, что туннель работает. На proxyвыполните ping 192.168.10.2. На dockвыполните ping 192.168.10.1. Выполните отладку с помощью tcpdumpна всех промежуточных сетевых интерфейсах, к которым у вас есть доступ. Если туннель ipip -не работает, используйте другой туннель и заставьте его работать.

2 )Удалить все правила iptablesна dock. Установите маршрут по умолчанию через туннель. Проверьте с помощью ip route get 8.8.8.8, работает ли маршрут.

3 )Предполагая, что eth0на proxyимеет общедоступный IP-адрес, удалите все iptablesправила, выполните:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o tun10 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -i tun10 -j ACCEPT

Здесь говорится: «Пересылать пакеты, маскировать все переадресованные пакеты, отправляемые на eth0, давая им общедоступный IP-адрес на eth0в качестве адреса источника, и отслеживать их соединение. Пакеты из tun10всегда можно перенаправить на eth0, входящие пакеты на eth0перенаправляются на tun10, только если соединение было установлено dock.

Протестируйте, выполнив ping 8.8.8.8на dockпри выполнении tcpdumpна tun10и eth0на proxy. Вы должны увидеть пересылаемые пакеты и перезаписываемый источник.

4 )Как только все заработает, сделайте его постоянным :Отредактируйте /etc/sysctl.confили файл в /etc/sysctl.d, чтобы иметь net.ipv4.ip_forward = 1. Либо используйте сценарий запуска, чтобы добавить правила iptables, либо используйте любой пакет, предоставляемый вашим дистрибутивом, для сохранения правил.