CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)...

最新推荐文章于 2024-08-13 11:40:33 发布
最新推荐文章于 2024-08-13 11:40:33 发布
阅读量741 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 网络
原文链接:http://www.cnblogs.com/EasonJim/p/8966925.html
本文介绍如何使用iptables配置DNAT(目的地网络地址转换),包括将外部请求重定向到本地回环地址的具体步骤。提供了实用的命令示例,如设置端口转发和启用路由本地网络等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

比如:

iptables -t nat -A OUTPUT -p tcp -d 192.168.1.0/24 --dport 2222 -j DNAT --to-destination 127.0.0.1:2222
或者
iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 4242 -j DNAT --to-destination 11.22.33.44:5353

解决方法:

1、在/etc/sysctl.conf增加转发

net.ipv4.conf.eth0.route_localnet=1

然后刷新一下sysctl -p,如果不想永久可以直接用当次生效的模式:sysctl -w net.ipv4.conf.eth0.route_localnet=1

完整的示例:

iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 4242 -j DNAT --to-destination 11.22.33.44:5353
sysctl -w net.ipv4.conf.eth0.route_localnet=1 #这一步可以在/etc/sysctl.conf增加使其变成永久的,增加后用sysctl -p进行生效
iptables -t nat -A POSTROUTING -p tcp -s 127.0.0.1 -d 11.22.33.44 --dport 5353 -j SNAT --to-source $your-eth0-ip

 

参考:

https://unix.stackexchange.com/questions/111433/iptables-redirect-outside-requests-to-127-0-0-1

https://serverfault.com/questions/551487/dnat-from-localhost-127-0-0-1 

 

转载于:https://www.cnblogs.com/EasonJim/p/8966925.html

angou6476
关注
云原生之容器编排实践-CentOS7上安装minikube
Heartsuit的博客
09-03 2009
作为初学者,为避免在裸金属主机上搭建 `Kubernetes` 集群的复杂度,以及使用云服务商提供的容器编排服务的一脸懵逼等打击信心的深坑,建议使用 `minikube` 来进入 `Kubernetes` 的世界。Minikube提供了一个轻量级的Kubernetes环境,可以在本地机器上快速搭建和测试Kubernetes应用程序。这对于学习和开发Kubernetes相关的技术非常有帮助。Minikube可以在没有互联网连接的情况下运行,这对于在没有稳定网络连接的环境中进行开发和测试非常有用。
CentOS 7之FirewallD与iptables的区别
Code小学僧的课后笔记
07-13 1890
介绍 FirewallD 即Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器,是 iptables 的前端控制器,用于实现持久的网络流量规则。它提供命令行和图形界面,在大多数 Linux 发行版的仓库中都有。与直接控制 iptables 相比,使用 FirewallD 有两个主要区别: FirewallD 使用区域和服务而不是链式规则。 FirewallD可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才
网络-iptables-telnet: connect to address 127.0.0.1: Connection refused-bug总结
橙汁糖的博客
12-05 405
我错误的原因是防火墙的端口号问题 解决办法: 查看目前防火墙端口号 cat /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT 颜色更深的23就是目前防火墙的端口号,如果要指定某端口号,进入编辑模式, vi /etc/sysconfig/iptables 把23更改为个人的...
CentOS 6.9下的iptables本机DNAT转发指定IP内网IP无效问题解决127.0.0.1
p15097962069的博客
09-28 340
CentOS 6.9下的iptables本机DNAT转发指定IP内网IP无效问题解决127.0.0.1
使用iptables为何不能将外部进入的包NAT127.0.0.1
系统运维
06-14 477
如有下面的iptables规则:iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:1234你觉得会成功吗?试一下就知道,不会成功。这是为什么呢?奇怪的是,不但没有返回包,即使本地没有1234这个端口在监听,也不会发送reset,这说明数据包根本就没有到达传输层,通过forward统计...
centos 6 NAT 转发——筑梦之路
筑梦之路
07-03 1274
1.网络组建或者服务器搭建过程中,很多时候我们都需要用Linux系统的NAT转发功能,下面我就来介绍下如何使用NAT转发,以实验案例来说明。 2.网络拓扑图
CentOS 7 iptables 防火墙 SNAT DNAT 用法
一直被模仿,从未被超越
04-28 4431
iptables 命令基本参数和用法 iptables –[A|I 链] [-i|o 网络接口] [-p 协议] [-s 来源ip/网域] [-d 目标ip/网域] –j[ACCEPT|DROP] 参数 作用 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F ...............
项目实战1——基于iptables的SNAT+DNAT与Docker容器发布的项目
REPCHAOCHAO的博客
08-18 3798
超超项目实战1——基于iptables的SNAT+DNAT与Docker容器发布的项目
9.DNS服务器和iptables
weixin_50619719的博客
03-18 1813
一、DNS服务器工作原理 DNS域名系统是互联网的一项服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人们更方便地访问互联网。简单的说就是完成域名到IP的解析过程,而不是去记32位的IP地址来访问某个网站。 DNS使用TCP和UDP端口53。 1.1 DNS解析过程 客户机访问某个网站,请求域名解析,首先会查找本地HOST文件,如果有相应域名和IP记录,则直接返回给客户机。如果没有则将请求发送给本地的域名服务器。 本地DNS服务器如能够解析该请求,则将答案返回。 本地DNS服务器不能解析该请
CentOS7下安装K8S
lyclngs的专栏
08-13 863
启用 bridge-nf-call-iptables 这个内核参数 (置为 1),表示 bridge 设备在二层转发时也去调用 iptables 配置的三层规则 (包含 conntrack),所以开启这个参数就能够解决上述 Service 同节点通信问题,这也是为什么在 Kubernetes 环境中,大多都要求开启 bridge-nf-call-iptables 的原因。Kubernetes CNI 提供了一个标准的接口,用于容器运行时(如 Docker、rkt 等)与网络插件之间的通信。
防火墙--iptables详解
weixin_34268753的博客
03-28 968
一:前言防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络IP、数据进行检测。目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于T...
centos7 配置iptables,设置指定ip访问指定端口
Cobb_L
01-22 2170
(PS:规则按照顺序查找,所以禁用所有端口放在最后,前面几条都没满足,就拦截掉!
iptables概念与操作
shay的博客
04-17 439
基本概念 有一些同学知道,linux除了防火墙firewell以外,还有一个iptables可以实现对服务器端口访问的限制 那iptables是啥呢 iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架 netfilter/iptables(下文中简称为iptab
iptables SNAT无效
lahm_z的博客
11-29 3603
iptables配置SNAT无效,但是ping包是有效的。 1. ping出去的包,源IP都进行的转换成了有效IP,udp出去的包没有进行转换。 2. 把UDP程序重启,然后iptables就生效了。 3.研究发现,在/proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout 为30,单位是秒,这个是UDP跟踪时间,如果iptables
linux 端口转发 iptables,Linux下使用iptables端口转发所遇到的各种问题解决方法(终于被我收集全了QAQ)...
weixin_39926103的博客
04-30 1154
前言Linux下利用iptables进行端口转发还是挺容易的,就是关键的问题有几个,只要有一个没解决就很烦….刚刚在对这个问题进行共第4xx次的GG后,终于有了最后一个问题解决方法….(很烦,真的很烦,神烦狗的烦,令人烦躁不安)iptables端口转发方法以下几个步骤没有具体的顺序,如果按照网上教程后还是不行,那么缺哪个补哪个:端口转发主要命令:其中remote_server指的是远端机器,th...
Linux如何做到将外来数据包DNAT到Loopback
系统运维
06-22 316
前面写了篇文章《使用iptables为何不能将外部进入的包NAT127.0.0.1》,牵扯到了很多知识,最终的结论就是不能那么做。这个结论让人有些不舒服,说了半天就是阐述它为何做不到,如果我非要将包NAT到loopback呢。比如为了不将端口以及地址暴露给外部,我就是想让代理服务侦听127.0.0.1这个地址,有没有什么办法做到呢? 因为你用的是Linux,答案无疑是肯定的,所要做的无非就是把路...
iptables配置——NAT地址转换
StamHe的专栏
01-29 3640
iptables配置——NAT地址转换http://hi.baidu.com/gaocher/blog/item/fe66d0ee08940a3727979100.html  iptables nat 原理同filter表一样,nat表也有三条缺省的"链"(chains): PREROUTING:目的DNAT规则把从外来的访问重定向到其他的机子上,比如
防火墙(二)之SNAT原理与应用(理论,待试验)
Gloom丿郁的博客
01-31 480
SNAT原理与应用: 文章目录SNAT原理与应用:SNAT应用环境:SNAT原理:SNAT转换前提条件:SNAT转换1:SNAT转换2:DNAT原理与应用:DNAT 应用环境:DNAT原理:DNAT转换前提条件:DNAT转换1:DNAT转换2:防火墙规则的备份和还原导出(备份)所有表的规则导入(还原)规则 SNAT应用环境: 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理: 修改数据包的源地址。 SNAT转换前提条件: 1.局域网各主机已正确设置
关于Linux下端口转发规则失效问题
moxiaomomo的专栏
11-14 5499
机器重启后,发现已有iptables的端口转发规则都已经失效,通过iptables -t nat -L查看规则都是存在的,但就是无法进行转发。再检查ip_forward功能,发现被还原为0了: #cat /proc/sys/net/ipv4/ip_forward 0 可判定是重启之前的转发设置没有持久化,而linux默认是关闭这项功能的,因此重新进行了永久生效的配置: echo 1 > /...
如何在服务器192.168.6.61开放端口给局域网其他电脑访问
最新发布
03-01
<think>好的,我现在需要帮助用户在服务器192.168.6.61上开放端口给局域网内的其他电脑访问。用户之前问过关于telnet连接被拒绝的问题,现在可能是在同一台服务器上配置端口访问。首先,我需要考虑用户可能的需求是什么。他们可能想要运行某个服务,比如Web服务器、数据库,或者自定义应用,需要让局域网内的其他设备能够访问这个服务。 接下来,我需要确定用户的操作系统类型,因为不同的Linux发行版(如CentOS、Ubuntu)在防火墙配置上有所不同。用户可能不熟悉这些区别,所以我的回答需要涵盖常见的系统,比如使用firewalld的系统和用ufw的系统,以及直接使用iptables的情况。 然后,我需要分解步骤。首先,确保服务本身在正确的端口上监听。用户可能需要检查服务配置,比如Nginx或Apache的配置文件,确认绑定地址是否正确,是否监听0.0.0.0或者特定的IP。如果服务只绑定到127.0.0.1,那么局域网内的其他电脑是无法访问的,必须改为0.0.0.0或者服务器的局域网IP,比如192.168.6.61。 接下来是防火墙设置。如果服务器启用了防火墙,比如firewalld或ufw,需要添加规则允许特定端口的流量。这里要详细说明如何添加端口,包括TCP和UDP的区别,但大多数情况下用户可能只需要TCP。同时,可能需要提醒用户注意区域设置,比如在firewalld中是否将接口放在正确的区域(如public或internal)。 另外,SELinux可能会阻止服务绑定端口,尤其是在使用非标准端口时。用户可能需要调整SELinux策略,使用semanage命令添加端口,或者暂时禁用SELinux进行测试。不过,建议用户不要完全禁用SELinux,而是正确配置它。 还有内部防火墙,比如iptables,用户可能需要检查是否有规则阻止了流量。有些情况下,服务可能配置正确,但iptables规则丢弃了数据包,需要添加相应的ACCEPT规则。 网络接口的绑定地址也很重要。用户需要确认服务绑定的IP地址是否正确,是否绑定到了192.168.6.61而不是localhost。例如,在Nginx配置中listen指令应该指定服务器的局域网IP0.0.0.0。 最后,测试步骤必不可少。用户完成配置后,应该从局域网内的另一台电脑使用telnet、curl或nmap来测试端口是否开放。如果仍然无法连接,需要逐步排查:服务是否运行、端口监听情况、防火墙规则、SELinux状态等。 可能遇到的常见问题包括:服务未启动、绑定地址错误、防火墙未正确配置、SELinux限制,或者网络路由问题。例如,服务器和客户端是否在同一个子网,是否有路由器或网络设备阻止了流量。此外,用户可能混淆了TCP和UDP端口,需要确认服务使用的协议类型。 在回答时,应该结构清晰,分步骤说明,并提供具体的命令示例,如使用ss或netstat检查端口监听,使用firewall-cmd添加端口,使用ufw允许端口等。同时,提醒用户注意安全性,开放端口可能会带来风险,建议仅开放必要的端口,并使用防火墙限制访问范围,比如只允许局域网的IP段。 总结来说,我的回答需要涵盖服务配置、防火墙设置、SELinux配置、网络接口绑定以及测试验证,确保用户能够逐步检查和调整设置,最终成功开放端口供局域网访问。</think>以下是在服务器192.168.6.61开放端口给局域网访问的完整指南: --- ### 一、操作流程图 ```mermaid graph TD A[开放端口] --> B{服务配置} B --> C[检查服务绑定地址] B --> D[确认端口监听] A --> E{防火墙配置} E --> F[firewalld/ufw设置] E --> G[iptables设置] A --> H{SELinux配置} A --> I[局域网连通性测试] ``` --- ### 二、详细操作步骤 #### 1. 确认服务绑定地址(关键) ```bash # 查看服务监听的IP地址(以80端口为例) sudo ss -tlnp | grep &#39;:80&#39; ``` **输出解读**: - `0.0.0.0:80` 表示接受所有来源连接 ✅ - `192.168.6.61:80` 正确绑定服务器IP- `127.0.0.1:80` 仅限本机访问 ❌ 需修改 **常见服务配置示例**: ```nginx # Nginx配置示例(/etc/nginx/sites-enabled/default) server { listen 192.168.6.61:80; # 明确绑定服务器IP # listen 80; # 等效于 0.0.0.0:80 } ``` #### 2. 防火墙配置(分系统操作) **CentOS/RHEL (firewalld)**: ```bash # 永久开放TCP端口 sudo firewall-cmd --permanent --add-port=80/tcp # 指定IP范围(可选) sudo firewall-cmd --permanent --add-rich-rule=&#39;rule family="ipv4" source address="192.168.6.0/24" port protocol="tcp" port="80" accept&#39; sudo firewall-cmd --reload ``` **Ubuntu/Debian (ufw)**: ```bash sudo ufw allow from 192.168.6.0/24 to any port 80 sudo ufw enable # 如果未启用防火墙 ``` #### 3. 处理SELinux限制 ```bash # 查看当前端口标签 semanage port -l | grep http_port_t # 添加新端口到SELinux策略 sudo semanage port -a -t http_port_t -p tcp 8080 # 以8080为例 # 临时解决方案(测试用) sudo setenforce 0 ``` #### 4. 验证配置 ```bash # 本机测试 telnet 127.0.0.1 80 # 从局域网其他机器测试(替换为实际客户端IP) telnet 192.168.6.61 80 nmap -p 80 192.168.6.61 ``` --- ### 三、高级配置场景 #### 场景1:仅开放给特定IP段 ```bash # firewalld限制访问源 sudo firewall-cmd --permanent --add-rich-rule=&#39; rule family="ipv4" source address="192.168.6.0/24" port protocol="tcp" port="80" accept&#39; ``` #### 场景2:端口转发 ```bash # 将外网端口8080转发内网80 sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.6.61:80 sudo iptables -A FORWARD -p tcp -d 192.168.6.61 --dport 80 -j ACCEPT ``` --- ### 四、故障排查表 | 现象 | 检查命令 | 解决方案 | |------|---------|----------| | 本机可连,局域网不通 | `ss -tln` | 检查服务绑定地址是否为0.0.0.0或服务器IP | | 客户端报`Connection refused` | `systemctl status firewalld` | 关闭防火墙或添加放行规则 | | 服务日志显示权限被拒绝 | `ausearch -m avc -ts recent` | 调整SELinux策略 | | 端口显示filtered | `tcpdump -i eth0 port 80` | 检查网络设备(交换机/路由器)ACL | --- ### 五、安全建议 1. **最小化开放原则**: - 仅开放必要端口 - 使用非标准端口+端口转发(如外部访问8080,内部映射到80) 2. **访问控制**: ```bash # 只允许指定IP段访问 sudo ufw allow from 192.168.6.0/24 to any port 22 ``` 3. **日志监控**: ```bash # 查看防火墙拦截日志 sudo journalctl -u firewalld -f | grep DROP ``` 4. **定期审查**: ```bash # 查看已开放端口 sudo firewall-cmd --list-all sudo ufw status numbered ``` --- 通过以上步骤配置后,局域网内其他设备即可通过`http://192.168.6.61:端口号`访问服务。建议先临时关闭防火墙测试基本连通性,再逐步添加安全限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值