iptables 做端口转发

最新推荐文章于 2019-06-06 09:45:00 发布
最新推荐文章于 2019-06-06 09:45:00 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chlinwei/article/details/68921632
该博客详细介绍了如何使用iptables在服务器web1(192.168.100.10)上进行端口转发,使得客户端(192.168.200.156)访问80端口时,实际连接到web2(192.168.100.254:80),访问8888端口时连接到192.168.100.253:8888。通过iptables的PREROUTING、FORWARD和POSTROUTING链设置,实现了数据包的目的地转换和源地址伪装,从而达到端口转发的效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptables 内建各表格与链的相关性

 

iptables 所在的服务器                                  web1                                        web2                                         客户端

eth0:192.168.100.10                           eth0:192.168.100.254                 eth0:192.168.100.253                 192.168.200.156

eth1:192.168.200.158  


web1中httpd.conf里Listen:80

web2中httpd.conf里Listen:8888

目的:客户端访问192.168.100.10:80 端得到192.168.100.254的web界面,访问192.168.100.10:8888端得到的是192.168.100.253:8888的web界面,从而实现

端口转发功能


#清楚默认规则
iptables -F
iptables -X
iptables -Z

iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

#默认操作
iptables  -P INPUT DROP
iptables  -P OUTPUT ACCEPT
iptables  -P FORWARD DROP



#INPUT基本规则
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP


#FORWARD基本规则
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state INVALID -j DROP

#放行所有通过lo的数据包
iptables -A INPUT -i lo -j ACCEPT 

#icmp
iptables -A INPUT -p icmp --icmp-type any -s 192.168.200.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -s 192.168.100/24 -j ACCEPT



#sshd
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 22 -j ACCEPT


#修改数据包目的地址
iptables -t nat -A PREROUTING -p tcp -d 192.168.200.158 --dport 80 -j DNAT --to 192.168.100.254:80
iptables -t nat -A PREROUTING -p tcp -d 192.168.200.158 --dport 8888 -j DNAT --to 192.168.100.253:8888
#修改数据包来源地址
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.254 --dport 80 -j SNAT --to 192.168.100.10
iptables -t nat -A POSTROUTING -p tcp -d 192.168.100.253 --dport 8888 -j SNAT --to 192.168.100.10

#FORWARD设置
iptables -A FORWARD -p tcp -d 192.168.100.254 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.100.253 --dport 8888 -j ACCEPT

分析:

1)当客户端192.168.200.156访问192.168.200.158:80时,首先客户端发的数据包会经过PREROUTING链,根据上面iptables配置可知,目的地址被改为192.168.100.254:80

r再经过路由判断数据包会经过上图B,然后经过FORWARD链,有iptables配置知此数据包会被放行,然后经过POSTROUTING链,有iptables配置可知,来源被修改为192.168.100.10

然后数据包通过iptables所在的服务器转发到了web1

2)web1通过分析客户端发来的数据包,可知web1发送的数据包目的地址为192.168.100.10,首先此数据包会经过PREROUTING链,此时Iptables配置里没有对来自

192.168.100.254:80的规则,则放行,经过路由判断,目的地址为192.168.100.10正好是iptables所在的机器此时经过端口好等一系列的映射就能返回到客户端手中(具体过程不清楚,web返回的数据只要知道目的地址192.168.100.10就能返回)

linux访问ftp带端口,使用iptables端口转发访问ftp
weixin_31554959的博客
04-30 1371
iptables端口转发是个很实用的功能,可以让我们忽略协议细节而实现透明转发,对于加密的数据传输更是好用。ftp协议不同于http协议,因为ftp的控制端口和数据端口是分离的,在被动模式下,数据端口是通过控制信息来商定的,所以我们不能简单地对21端口转发。注:假定我们是通过在 本机IP 上NAT设置使 源IP 可以通过 本机IP 访问到 目标IP1、首先书写并运行nat命令modprob...
iptables 端口转发
07-02
iptables是一个Linux下优秀的nat+防火墙工具
利用iptables 端口转发
whxhz的专栏
04-25 362
 通过vpn,访问对端局域网内ip,最关键的一句 iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -j SNAT --to-source 10.161.166.149 10.8.0.0是vpn的网段,10.161.166.149是vpn服务器在对端局域网内的内网ip地址   Server  unbuntu server...
iptables端口转发
weixin_30485291的博客
06-06 469
本机端口映射到其他机器 #本机80端口转发192.168.1.10:80 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80 #添加源地址替换iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tc...
iptables实现端口转发
weixin_34293911的博客
08-27 166
iptables实现端口转发的过程 看了不少关于用iptables实现端口转发的文章,但感觉都没有把问题说得很清楚,现接合我自己设置和使用的经历,谈谈它的实现过程. 设我们有一台计算机,有两块网卡,eth0连外网,ip为1.2.3.4;eth1连内网,ip为192.168.0.1.现在需要把发往地址1.2.3.4的81端口的ip包转发到ip地址192.168.0.2的81...
CENTOS7使用iptables端口转发
热门推荐
谢谢俊东的博客
08-28 1万+
  centos7.3默认使用的防火墙应该是firewall,而不是iptables。而我们xxmj服务器使用的是iptables防火墙。所以,在配置防火墙之前,我们需要先关闭firewall,安装iptables。 查看firewall的安装和启动状态 [root@localhost ~]# yum list installed firewalld iptables [root@l...
记一次ubuntu利用iptables端口转发的操作
01-09
于是曲线救国,找了国内一台到两边访问都较快的机器为跳板,一个端口转发,以加速云机器3389端口的访问。这里记录下思路和操作。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注...
通过iptables实现端口转发和内网共享上网.docx
09-30
通过iptables实现端口转发和内网共享上网 本文将详细介绍如何使用iptables实现端口转发和内网共享上网。iptables是一个Linux下的优秀的nat+防火墙工具,可以配置灵活强劲的防火墙+nat系统。 首先,需要说明的是,...
“Ubuntu系统中iptables实现端口转发操作记录”
最新发布
07-17
通过在这台跳板机上配置端口转发规则,将访问跳板机某个端口的流量自动转发到云机器的3389端口,从而加速访问。 网络拓扑图如下(注:图中IP地址均为虚构)。核心思路是利用跳板机的防火墙转发规则,实现流量的快速...
利用iptables端口转发
weixin_30678349的博客
03-01 107
需求背景:   A与C不在同一网段无法直接访问,而A和B,C和B可以互通。现需要A借助B访问C的3306端口。 解决方案:   利用iptables配置规则,实现端口转发。 具体操作: 在B上开启端口转发功能: echo 1 > /proc/sys/net/ipv4/ip_forward 或 vim /etc/sysctl.conf,...
使用iptables进行端口转发
weixin_33972649的博客
06-08 220
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值