Linux 中iptables转发外网成功转发本地失败的解决办法

最新推荐文章于 2025-07-03 18:31:41 发布
原创 最新推荐文章于 2025-07-03 18:31:41 发布 · 1.2w 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1、Nginx端口转发

因为nginx账号不能直接启动80端口,所以利用iptables做了80到8081端口的转发,这样外部应用可以直接访问80端口,然后通过iptables转发到真正的nginx服务的8081端口。

 

Iptables转发命令:

         iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081                  

 

 

2、外网能通,但是本地不通

外网的网页页面能打通,如下:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/1.html

--2016-11-22 12:43:01--  http://bright.test.com/PLATFORM_AUTH_Service/1.html

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 已连接。

已发出 HTTP 请求,正在等待回应... 200 OK

长度:39 [text/html]

正在保存至: “1.html”

 

100%[=====================================================================================================================================================>] 39          --.-K/s   in 0s     

 

2016-11-22 12:43:01 (4.13 MB/s) - 已保存 “1.html” [39/39])

 

[tomcat@dev_121_21 ~]$

 

 

 

本地的service服务器打不通:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

--2016-11-22 12:29:17--  http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 失败:拒绝连接。

[tomcat@dev_121_21 ~]$

 

问题在哪里呢?直接telnet端口80试试

# telnet域名的80端口不通

[tomcat@dev_121_21 ~]$ telnet bright.test.com 80

Trying 192.168.121.21...

telnet: connect to address 192.168.121.21: Connection refused

[tomcat@dev_121_21 ~]$

# telnet 域名所在ip地址的80端口,也不通

[tomcat@dev_121_21 ~]$ telnet 192.168.121.21 80

Trying 192.168.121.21...

telnet: connect to address 192.168.121.21: Connection refused

[tomcat@dev_121_21 ~]$

 

# 因为80只是iptables转发的端口,不是真正nginx服务的端口,nginx服务的8081端口是有效的,

[tomcat@dev_121_21 ~]$ telnet bright.test.com 8081

Trying 192.168.121.21...

Connected to bright.test.com.

Escape character is '^]'.

Connection closed by foreign host.

[tomcat@dev_121_21 ~]$

 

问题场景很明显了,就是本地本机telnet不通80端口,其它的外部过来的访问80端口都ok。

 

问题分析:
外网访问需要经过PREROUTING链,但是localhost以及192.168.121.21本机ip地址不经过该链,因此需要用OUTPUT。

 

 

3、设置OUTPUT

设置output限制:

#在本机telnet也可以做转发到本机端口,不过限制了ip地址为localhost的域名访问

[root@dev_121_21 ~]#iptables -t nat -A OUTPUT -d 192.168.121.21 -p tcp --dport 80 -j REDIRECT --to-ports 8081        

 

#不限制ip地址的访问

[root@dev_121_21 ~]#iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8081

 

PS:如果想外部内部都通过域名来走,而域名又绑定实际的ip地址的话,那么这里就需要采用第一种限制域名实际ip的方式来操作才能有效

 

# iptables永久生效,保存到系统配置中

[root@dev_121_21 ~]# service iptables save;

iptables:将防火墙规则保存到 /etc/sysconfig/iptables:     [确定]

[root@dev_121_21 ~]#      chkconfig --level 2345 iptables on;

[root@dev_121_21 ~]#      chkconfig --add iptables;

[root@dev_121_21 ~]# service iptables restart

iptables:清除防火墙规则:                                 [确定]

iptables:将链设置为政策 ACCEPT:nat                       [确定]

iptables:正在卸载模块:                                   [确定]

iptables:应用防火墙规则:                                 [确定]

[root@dev_121_21 ~]#

 

 

 

4、问题解决本地能通

 

再试下,本地就可以访问本地的service接口服务了:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

--2016-11-22 12:51:14--  http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 已连接。

已发出 HTTP 请求,正在等待回应... 405 Method Not Allowed

2016-11-22 12:51:14 错误 405:Method Not Allowed。

 

[tomcat@dev_121_21 ~]$

 

 

参考文章:http://blog.youkuaiyun.com/zzhongcy/article/details/42738285

15、linux命令-iptables命令详解
xuebo1129927648的博客
06-09 77
为了更清晰地呈现四表五链的执行顺序,我们以。
Linux主机防火墙构建iptables的使用
weixin_43834422的博客
09-14 1214
2.1.1.选题说明 本课设主要使用 Linuxiptables 软件完成两类主机防火墙的设计和实现工作,包括了iptables包过滤,iptables状态检测,iptables NAT转换。 2.1.2系统功能 (1) 使用 iptables 实现主机路由包过滤,实现对协议、服务端口和网络接口入、出方向的可控。 (2) 使用 iptables 实现对新建的网络会话进行状态检测,对已建的网络会话进行状态检测,设置默认策略为 DROP,添加规则开放 FTP 服务和 WWW服务,并允许远程用户上传文件至
内网环境通过iptables实现数据包转发连接互联网
qq_46077639的博客
05-11 1361
转自:https://www.jianshu.com/p/cca6e1a3e30b。转自:https://www.jianshu.com/p/cca6e1a3e30b。同样开启路由转发sysctl -w net.ipv4.ip_forward=1.同样开启路由转发sysctl -w net.ipv4.ip_forward=1.开启路由转发: sysctl -w net.ipv4.ip_forward=1。开启路由转发: sysctl -w net.ipv4.ip_forward=1。
关于Linux下端口转发规则失效问题
moxiaomomo的专栏
11-14 5528
机器重启后,发现已有iptables的端口转发规则都已经失效,通过iptables -t nat -L查看规则都是存在的,但就是无法进行转发。再检查ip_forward功能,发现被还原为0了: #cat /proc/sys/net/ipv4/ip_forward 0 可判定是重启之前的转发设置没有持久化,而linux默认是关闭这项功能的,因此重新进行了永久生效的配置: echo 1 > /...
linux转发不工作,使用iptables通过Linux机器转发RDP:不工作
weixin_42516967的博客
05-15 391
我有一台Linux机器和一台实现NAT的路由器后面的Windows机器(该图可能有点矫枉过正,但是是fun to make):我将路由器上的RDP端口(3389)转发Linux机器,因为我想审核RDP连接.为了让Linux机器转发RDP流量,我写了这些iptables规则:iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to...
centos7 iptables 端口转发 保存_教你如何保存和恢复iptables规则
weixin_39625429的博客
11-29 1558
当前,不同的内核模块和程序用于不同的协议。 iptables适用于IPv4,ip6tables适用于IPv6,arptables适用于ARP,而ebtables适用于以太网帧。Linux中的许多网络参数都是使用iptables配置的,例如,转发数据包,端口转发,网络流量的任何权限或限制,构建NAT等。但是iptables只能记住配置,直到重新启动,因此出现了如何保存的问题。 并还原规则,而无需手动...
Linux笔记-解决iptables配置后,本机无法访问本机,本机无法访问其他主机问题
IT1995的博客
03-28 3050
解决两个问题: ①本机无法访问本机。 ②本机无法访问其他主机。 原理:一般iptables配置的是eth设备,而本机用的是lo设备,所以lo设备也要操作。 解决本机无法访问本机: iptables -I INPUT -i lo -j ACCEPT 测试下拿不到百度的数据: [root@bogon ~]# curl -I http://www.baidu.com ^C [root@bogon ~]# 解决本机无法访问其他主机: iptables -I INPUT -m state
Docker 网络中 `iptables` 与 Linux Namespace 行为详解:原理、链路与实战排查路径
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
07-03 925
在 Docker 网络体系中,`iptables` 与 Linux Namespace 是实现容器间隔离、地址转换与转发控制的核心机制。本文从网络命名空间构造、veth 对连接、iptables 链表流转等多个维度,全面解析容器从发送数据包到出网的全链路过程,结合实际部署中的调试与排错经验,深入剖析典型问题的行为表现与定位方式,帮助读者构建可理解、可调试、可扩展的容器网络知识体系。
linux 防火墙管理工具-- iptables基础知识
wdwangye的博客
05-01 1281
iptables 定义:iptables并不是只防火墙,而是一种客户端工具。用户通过这个客户端(iptables)将用户的安全设定执行到对应的“安全框架”中。这个安全框架才是真正的防火墙。框架名字叫netfilter。 就是通过iptables来操作netfilter。 规则(Rules) 规则就是网络管理员预定义的条件。规则一般的定义为“如果数据报头符合这样的条件,就这样处理这个数据包“”...
Linux iptables防火墙实验
qq_45070118的博客
06-17 8833
实验要求 1. 利用Linux自带的iptables配置防火墙。完成如下配置: 要求:(1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙访问外部HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加,作为加分项。 iptables防火墙简介 在linux上设置防火墙规则时,一定要先用...
iptables不生效解决办法
weixin_33832340的博客
06-17 3731
修改完iptables之后,如果不生效,需要修改一下这个参数   echo 1 > /proc/sys/net/ipv4/ip_forward   使iptables转发开启生效,如果设置为0,则不转发         另附三个自己的小站,很不错,请支持支持,谢谢~ http://www.yiqidache.com    搭车户外装备助手,户外装备导购及咨询发布 http:/...
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)
p15097962069的博客
09-28 346
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)...
angou6476的博客
04-28 744
比如: iptables -t nat -A OUTPUT -p tcp -d 192.168.1.0/24 --dport 2222 -j DNAT --to-destination 127.0.0.1:2222或者iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 4242 -j DNAT --to-destination...
iptables 端口转发
sql迷航的专栏
12-22 355
看到一篇文章关于iptables转发,写的较为详细,推荐给大家,同时感谢作者的贡献。 我在测试的时候未能成功,检查后发现是我内网机器的路由策略有问题,添加路由后问题解决 注意点:检查内网机器的route情况(linux  route  -n进行查看)。 转载: http://xstarcd.github.io/wiki/Linux/iptables_forward
解决iptables DNAT不生效
CHEndorid的博客
07-05 1万+
DNAT不生效,如果命令都是正确的,那么问题就出在操作不完整,只了DNAT配置的一部分。完整步骤如下 0、场景介绍 192.168.1.81:ip81服务器上,启了一个nginx,端口80 192.168.1.57:ip57服务器,在这台上添加防火墙规则,让其他服务器能够通过ip57的800端口访问ip81的web服务 192.168.1.222:ip222服务器为同一内网中的验证服务器,验证DNAT是否配置成功 1、打开内核转发功能 echo "net.ipv4.ip_forward=1"
linux 端口转发 iptables,Linux下使用iptables端口转发所遇到的各种问题及解决方法(终于被我收集全了QAQ)...
weixin_39926103的博客
04-30 1162
前言Linux下利用iptables进行端口转发还是挺容易的,就是关键的问题有几个,只要有一个没解决就很烦….刚刚在对这个问题进行共第4xx次的GG后,终于有了最后一个问题的解决方法….(很烦,真的很烦,神烦狗的烦,令人烦躁不安)iptables端口转发方法以下几个步骤没有具体的顺序,如果按照网上教程后还是不行,那么缺哪个补哪个:端口转发主要命令:其中remote_server指的是远端机器,th...
iptables设置端口转发
热门推荐
司刚军的个人专栏
12-19 2万+
本地接口IP 61.144.14.72 的3389端口 转发到 116.6.73.229的3389       (主要访问到61.144.14.72的3389端口,就会跳转到116.6.73.229的3389) 【步骤】 1、 首先应该的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默认是0    这样允许iptalbes FO
iptables无效 telnet Connection refused No route to host
小彩电专栏
07-25 1616
设置了iptables 能用iptables -L查看已经起效果 但telnet还是不通 ----- iptables只是防火墙端口开启 但端口需要有对应的服务 telnet才通 ----- 怎么判断iptables的起效了呢? ----- 用window下cmd时的telnet是区别不出来的     C:\Users\admin>telnet 220.181.111....
websockect外网无法访问linux服务器
最新发布
09-02
<think> 首先,用户查询是:“我想查找websocket外网无法访问Linux服务器的解决方案”,意思是“I want to find a solution for WebSocket not being accessible externally on a Linux server”。 我需要根据提供的系统级指令来回应。指令包括: - 所有行内数学表达式使用$...$格式。 - 独立公式使用$$...$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 用户的问题是关于WebSocket外网无法访问Linux服务器的解决方案。提供的引用有多个来源: - 引用[1]: 描述了一个问题,WebSocket连接失败,错误是Unexpected response code: 200。用的是.NET环境,但问题类似。 - 引用[2]: 给出了在Windows上启用WebSocket协议的方法,以及绑定IP的建议。 - 引用[3]: 提到了Linux系统上绑定IP的问题,错误是“unable to bind address”。 - 引用[4]: 讨论了使用Nginx反向代理来解决路由器不支持外网访问的问题。 用户说“上述引用仅供参考”,但我应该参考用户上一次的问题和我的回答。查看历史,用户上一个查询是关于同一个主题的,但在这个对话中,现在是首次响应。系统指令提到“参考用户上一次的问题和你的回答”,但在这个上下文中,这是初始查询。 在系统指令中,它说“请尽可能多的参考用户上一次的问题和你的回答”,但在这个消息中,用户没有指定上一个问题。所以,我应该基于当前查询和提供的引用。 我的回答结构需要清晰,帮助用户逐步解决问题。确保回答真实可靠。 关键点:用户正在使用Linux服务器。 从引用中提取相关解决方案: 1. 绑定正确的IP地址(引用[2]和[3]):确保WebSocket服务绑定到服务器的公共IP或0.0.0.0(所有接口),而不是127.0.0.1。 2. 防火墙设置(推断):Linux防火墙可能需要允许WebSocket端口(通常是80或443,或自定义端口)。 3. Nginx反向代理(引用[4]):设置Nginx作为反向代理来处理WebSocket连接。 4. 其他考虑:路由器端口转发、DNS设置等。 逐步解决方案: 1. **检查WebSocket服务绑定IP**:确认服务绑定到0.0.0.0或服务器的公网IP。 2. **配置防火墙**:打开WebSocket端口。 3. **使用Nginx反向代理**:设置Nginx代理WebSocket流量。 4. **路由器设置**:确保路由器端口转发到服务器。 5. **测试连接**:使用工具测试。 最后,生成相关问题。 回答用中文。 现在,关于数学表达式:用户的问题是关于WebSocket的,所以可能没有数学内容。但指令说“所有行内数学表达式必须使用$...$格式”。如果没有涉及数学,我应该避免强制添加。但在响应中,如果没有相关内容,就不用添加。 同样,对于独立公式:可能不需要。如果有任何计算或公式,我会使用$$...$$。 在WebSocket上下文中,不太可能有数学公式。所以,我应该专注于文本。 生成相关问题:在末尾添加相关问题。 引用标识:在回答中引用参考时,末尾添加如“[^1]”。 在响应中,我应该引用提供的文献。 结构化回答: - 引言:总结问题。 - 逐步解决方案。 - 结尾:确认或建议。 - 相关问题。 确保真实可靠:基于一般知识和引用。 最终响应: 1. 用中文。 2. 清晰步骤。 3. 引用参考。 4. 生成问题。 </think> ### WebSocket外网无法访问Linux服务器的解决方案 当WebSocket服务在Linux服务器上部署后,外网无法访问是一个常见问题,通常源于网络配置、服务绑定或代理设置不当。以下基于常见原因和最佳实践,提供一个逐步的解决方案流程。这些步骤融合了网络调试经验和相关引用建议,确保真实可靠。WebSocket协议通常使用端口80(HTTP)或443(HTTPS),也可能自定义端口如8080,因此在操作中需根据您的实际端口调整(例如,如果您使用自定义端口$port$,则替换相关命令)。 #### 步骤1: 检查WebSocket服务绑定IP WebSocket服务必须绑定到服务器的公网IP或所有接口(0.0.0.0),而不是仅绑定到本地环回地址(127.0.0.1)。否则,外网请求无法到达服务。 - **操作指南**: - 检查您的WebSocket代码(如Node.js、Python或PHP),确保绑定地址设置为0.0.0.0。例如,在PHP中使用`socket_bind()`时,IP应设为0.0.0.0: ```bash # 示例代码修改(参考引用[3]) $socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP); socket_bind($socket, '0.0.0.0', 端口号); # 替换为您的实际端口 ``` 如果绑定错误如“unable to bind address”,表示IP配置无效,需更正为公网对应的内网IP或0.0.0.0[^3]。 - 使用命令行验证绑定状态: ```bash netstat -tuln | grep '端口号' # 检查服务是否在0.0.0.0上监听 ``` 输出应显示类似`0.0.0.0:端口号`的条目。如果不是,修改服务配置后重启服务。 #### 步骤2: 配置Linux防火墙 Linux防火墙(如iptables或firewalld)可能阻止外网流量。需开放WebSocket端口以保证通信。 - **操作指南**: - 使用firewalld(推荐在CentOS/Ubuntu): ```bash sudo firewall-cmd --zone=public --add-port=端口号/tcp --permanent # 添加端口规则 sudo firewall-cmd --reload # 重载配置 ``` - 使用iptables(如果未安装firewalld): ```bash sudo iptables -A INPUT -p tcp --dport 端口号 -j ACCEPT sudo service iptables save # 保存规则 ``` - 测试端口开放性: ```bash telnet 服务器公网IP 端口号 # 从外网设备测试连接 ``` 如果连接失败,检查防火墙规则是否生效或路由器是否转发流量(参考步骤4)。 #### 步骤3: 设置Nginx反向代理 Nginx可作为反向代理转发WebSocket流量,解决直接暴露服务的安全问题或路由器限制(如引用[4]所述)。这尤其适用于外网访问时出现HTTP 200错误(非WebSocket响应),表明客户端收到普通HTTP响应而非WebSocket握手。 - **操作指南**: - 安装并配置Nginx: ```bash sudo yum install nginx # CentOS sudo apt-get install nginx # Ubuntu ``` - 编辑Nginx站点配置文件(如`/etc/nginx/conf.d/websocket.conf`),添加代理设置: ```nginx server { listen 80; # 或443 for HTTPS server_name 您的域名或公网IP; location /websocket-path { # 替换为您的WebSocket路径 proxy_pass http://localhost:内部端口; # WebSocket服务的内网地址 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_read_timeout 86400s; # 保持长连接 } } ``` 此配置确保WebSocket握手正确传输(避免Unexpected response code: 200错误[^1])。 - 重启Nginx并测试: ```bash sudo nginx -t # 检查配置正确性 sudo systemctl restart nginx ``` 外网访问时使用`ws://域名或IP/websocket-path`。 #### 步骤4: 路由器端口转发和DNS设置 如果服务器位于内网,路由器需将外网端口转发到服务器内网IP,否则流量无法穿透。 - **操作指南**: - 登录路由器管理界面(如192.168.1.1),设置端口转发: - 外部端口(如8080)转发到服务器内网IP和WebSocket端口。 - 确保转发协议为TCP(WebSocket基于TCP)。 - 检查服务器公网IP是否固定;如果动态,使用DDNS服务绑定域名。 - 如果路由器不支持转发(如引用[4]场景),可结合步骤3的Nginx代理解决。 #### 步骤5: 测试和调试 完成配置后,全面测试连接性: - **本地测试**: - 从服务器内部使用`curl`或浏览器工具验证WebSocket服务可用: ```bash curl -i -N -H "Connection: Upgrade" -H "Upgrade: websocket" -H "Host: localhost" http://localhost:端口号 ``` 应返回HTTP 101 Switching Protocols表示成功。 - **外网测试**: - 使用外网设备访问WebSocket地址(例如浏览器开发者工具或在线WebSocket测试工具)。 - 常见错误排查: - 如果出现HTTP 200错误,检查Nginx代理配置或服务绑定[^1]。 - 如果连接超时,确认防火墙和路由器转发生效。 - 使用工具如`tcpdump`抓包分析: ```bash sudo tcpdump -i eth0 port 端口号 # 监控流量 ``` #### 总结 以上步骤覆盖了WebSocket外网访问失败的主要成因:绑定IP错误、防火墙封锁、缺乏代理或路由器配置。解决方案成功率较高,但需根据您的具体环境调整(如WebSocket端口和服务器OS)。如果问题持续,提供更多细节(如错误日志)便于进一步诊断[^1][^3][^4]。一般在Linux服务器上实施后,外网可正常连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值