Linux 中iptables转发外网成功转发本地失败的解决办法

最新推荐文章于 2025-07-03 18:31:41 发布
原创 最新推荐文章于 2025-07-03 18:31:41 发布 · 1.2w 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

1、Nginx端口转发

因为nginx账号不能直接启动80端口,所以利用iptables做了80到8081端口的转发,这样外部应用可以直接访问80端口,然后通过iptables转发到真正的nginx服务的8081端口。

 

Iptables转发命令:

         iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081                  

 

 

2、外网能通,但是本地不通

外网的网页页面能打通,如下:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/1.html

--2016-11-22 12:43:01--  http://bright.test.com/PLATFORM_AUTH_Service/1.html

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 已连接。

已发出 HTTP 请求,正在等待回应... 200 OK

长度:39 [text/html]

正在保存至: “1.html”

 

100%[=====================================================================================================================================================>] 39          --.-K/s   in 0s     

 

2016-11-22 12:43:01 (4.13 MB/s) - 已保存 “1.html” [39/39])

 

[tomcat@dev_121_21 ~]$

 

 

 

本地的service服务器打不通:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

--2016-11-22 12:29:17--  http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 失败:拒绝连接。

[tomcat@dev_121_21 ~]$

 

问题在哪里呢?直接telnet端口80试试

# telnet域名的80端口不通

[tomcat@dev_121_21 ~]$ telnet bright.test.com 80

Trying 192.168.121.21...

telnet: connect to address 192.168.121.21: Connection refused

[tomcat@dev_121_21 ~]$

# telnet 域名所在ip地址的80端口,也不通

[tomcat@dev_121_21 ~]$ telnet 192.168.121.21 80

Trying 192.168.121.21...

telnet: connect to address 192.168.121.21: Connection refused

[tomcat@dev_121_21 ~]$

 

# 因为80只是iptables转发的端口,不是真正nginx服务的端口,nginx服务的8081端口是有效的,

[tomcat@dev_121_21 ~]$ telnet bright.test.com 8081

Trying 192.168.121.21...

Connected to bright.test.com.

Escape character is '^]'.

Connection closed by foreign host.

[tomcat@dev_121_21 ~]$

 

问题场景很明显了,就是本地本机telnet不通80端口,其它的外部过来的访问80端口都ok。

 

问题分析:
外网访问需要经过PREROUTING链,但是localhost以及192.168.121.21本机ip地址不经过该链,因此需要用OUTPUT。

 

 

3、设置OUTPUT

设置output限制:

#在本机telnet也可以做转发到本机端口,不过限制了ip地址为localhost的域名访问

[root@dev_121_21 ~]#iptables -t nat -A OUTPUT -d 192.168.121.21 -p tcp --dport 80 -j REDIRECT --to-ports 8081        

 

#不限制ip地址的访问

[root@dev_121_21 ~]#iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8081

 

PS:如果想外部内部都通过域名来走,而域名又绑定实际的ip地址的话,那么这里就需要采用第一种限制域名实际ip的方式来操作才能有效

 

# iptables永久生效,保存到系统配置中

[root@dev_121_21 ~]# service iptables save;

iptables:将防火墙规则保存到 /etc/sysconfig/iptables:     [确定]

[root@dev_121_21 ~]#      chkconfig --level 2345 iptables on;

[root@dev_121_21 ~]#      chkconfig --add iptables;

[root@dev_121_21 ~]# service iptables restart

iptables:清除防火墙规则:                                 [确定]

iptables:将链设置为政策 ACCEPT:nat                       [确定]

iptables:正在卸载模块:                                   [确定]

iptables:应用防火墙规则:                                 [确定]

[root@dev_121_21 ~]#

 

 

 

4、问题解决本地能通

 

再试下,本地就可以访问本地的service接口服务了:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

--2016-11-22 12:51:14--  http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 已连接。

已发出 HTTP 请求,正在等待回应... 405 Method Not Allowed

2016-11-22 12:51:14 错误 405:Method Not Allowed。

 

[tomcat@dev_121_21 ~]$

 

 

参考文章:http://blog.youkuaiyun.com/zzhongcy/article/details/42738285

15、linux命令-iptables命令详解
xuebo1129927648的博客
06-09 40
为了更清晰地呈现四表五链的执行顺序,我们以。
Linux主机防火墙构建iptables的使用
weixin_43834422的博客
09-14 1195
2.1.1.选题说明 本课设主要使用 Linuxiptables 软件完成两类主机防火墙的设计和实现工作,包括了iptables包过滤,iptables状态检测,iptables NAT转换。 2.1.2系统功能 (1) 使用 iptables 实现主机路由包过滤,实现对协议、服务端口和网络接口入、出方向的可控。 (2) 使用 iptables 实现对新建的网络会话进行状态检测,对已建的网络会话进行状态检测,设置默认策略为 DROP,添加规则开放 FTP 服务和 WWW服务,并允许远程用户上传文件至
内网环境通过iptables实现数据包转发连接互联网
qq_46077639的博客
05-11 1333
转自:https://www.jianshu.com/p/cca6e1a3e30b。转自:https://www.jianshu.com/p/cca6e1a3e30b。同样开启路由转发sysctl -w net.ipv4.ip_forward=1.同样开启路由转发sysctl -w net.ipv4.ip_forward=1.开启路由转发: sysctl -w net.ipv4.ip_forward=1。开启路由转发: sysctl -w net.ipv4.ip_forward=1。
关于Linux下端口转发规则失效问题
moxiaomomo的专栏
11-14 5492
机器重启后,发现已有iptables的端口转发规则都已经失效,通过iptables -t nat -L查看规则都是存在的,但就是无法进行转发。再检查ip_forward功能,发现被还原为0了: #cat /proc/sys/net/ipv4/ip_forward 0 可判定是重启之前的转发设置没有持久化,而linux默认是关闭这项功能的,因此重新进行了永久生效的配置: echo 1 > /...
linux转发不工作,使用iptables通过Linux机器转发RDP:不工作
weixin_42516967的博客
05-15 384
我有一台Linux机器和一台实现NAT的路由器后面的Windows机器(该图可能有点矫枉过正,但是是fun to make):我将路由器上的RDP端口(3389)转发Linux机器,因为我想审核RDP连接.为了让Linux机器转发RDP流量,我写了这些iptables规则:iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to...
centos7 iptables 端口转发 保存_教你如何保存和恢复iptables规则
weixin_39625429的博客
11-29 1544
当前,不同的内核模块和程序用于不同的协议。 iptables适用于IPv4,ip6tables适用于IPv6,arptables适用于ARP,而ebtables适用于以太网帧。Linux中的许多网络参数都是使用iptables配置的,例如,转发数据包,端口转发,网络流量的任何权限或限制,构建NAT等。但是iptables只能记住配置,直到重新启动,因此出现了如何保存的问题。 并还原规则,而无需手动...
iptables不生效解决办法
weixin_33832340的博客
06-17 3719
修改完iptables之后,如果不生效,需要修改一下这个参数   echo 1 > /proc/sys/net/ipv4/ip_forward   使iptables转发开启生效,如果设置为0,则不转发         另附三个自己的小站,很不错,请支持支持,谢谢~ http://www.yiqidache.com    搭车户外装备助手,户外装备导购及咨询发布 http:/...
Docker 网络中 `iptables` 与 Linux Namespace 行为详解:原理、链路与实战排查路径
最新发布
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
07-03 882
在 Docker 网络体系中,`iptables` 与 Linux Namespace 是实现容器间隔离、地址转换与转发控制的核心机制。本文从网络命名空间构造、veth 对连接、iptables 链表流转等多个维度,全面解析容器从发送数据包到出网的全链路过程,结合实际部署中的调试与排错经验,深入剖析典型问题的行为表现与定位方式,帮助读者构建可理解、可调试、可扩展的容器网络知识体系。
linux 防火墙管理工具-- iptables基础知识
wdwangye的博客
05-01 1261
iptables 定义:iptables并不是只防火墙,而是一种客户端工具。用户通过这个客户端(iptables)将用户的安全设定执行到对应的“安全框架”中。这个安全框架才是真正的防火墙。框架名字叫netfilter。 就是通过iptables来操作netfilter。 规则(Rules) 规则就是网络管理员预定义的条件。规则一般的定义为“如果数据报头符合这样的条件,就这样处理这个数据包“”...
Linux iptables防火墙实验
qq_45070118的博客
06-17 8822
实验要求 1. 利用Linux自带的iptables配置防火墙。完成如下配置: 要求:(1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙访问外部HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加,作为加分项。 iptables防火墙简介 在linux上设置防火墙规则时,一定要先用...
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)
p15097962069的博客
09-28 340
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)
Linux笔记-解决iptables配置后,本机无法访问本机,本机无法访问其他主机问题
IT1995的博客
03-28 3004
解决两个问题: ①本机无法访问本机。 ②本机无法访问其他主机。 原理:一般iptables配置的是eth设备,而本机用的是lo设备,所以lo设备也要操作。 解决本机无法访问本机: iptables -I INPUT -i lo -j ACCEPT 测试下拿不到百度的数据: [root@bogon ~]# curl -I http://www.baidu.com ^C [root@bogon ~]# 解决本机无法访问其他主机: iptables -I INPUT -m state
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)...
angou6476的博客
04-28 739
比如: iptables -t nat -A OUTPUT -p tcp -d 192.168.1.0/24 --dport 2222 -j DNAT --to-destination 127.0.0.1:2222或者iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 4242 -j DNAT --to-destination...
iptables 端口转发
sql迷航的专栏
12-22 350
看到一篇文章关于iptables转发,写的较为详细,推荐给大家,同时感谢作者的贡献。 我在测试的时候未能成功,检查后发现是我内网机器的路由策略有问题,添加路由后问题解决 注意点:检查内网机器的route情况(linux  route  -n进行查看)。 转载: http://xstarcd.github.io/wiki/Linux/iptables_forward
linux 端口转发 iptables,Linux下使用iptables端口转发所遇到的各种问题及解决方法(终于被我收集全了QAQ)...
weixin_39926103的博客
04-30 1153
前言Linux下利用iptables进行端口转发还是挺容易的,就是关键的问题有几个,只要有一个没解决就很烦….刚刚在对这个问题进行共第4xx次的GG后,终于有了最后一个问题的解决方法….(很烦,真的很烦,神烦狗的烦,令人烦躁不安)iptables端口转发方法以下几个步骤没有具体的顺序,如果按照网上教程后还是不行,那么缺哪个补哪个:端口转发主要命令:其中remote_server指的是远端机器,th...
iptables设置端口转发
热门推荐
司刚军的个人专栏
12-19 2万+
本地接口IP 61.144.14.72 的3389端口 转发到 116.6.73.229的3389       (主要访问到61.144.14.72的3389端口,就会跳转到116.6.73.229的3389) 【步骤】 1、 首先应该的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默认是0    这样允许iptalbes FO
iptables无效 telnet Connection refused No route to host
小彩电专栏
07-25 1600
设置了iptables 能用iptables -L查看已经起效果 但telnet还是不通 ----- iptables只是防火墙端口开启 但端口需要有对应的服务 telnet才通 ----- 怎么判断iptables的起效了呢? ----- 用window下cmd时的telnet是区别不出来的     C:\Users\admin>telnet 220.181.111....
解决iptables DNAT不生效
CHEndorid的博客
07-05 1万+
DNAT不生效,如果命令都是正确的,那么问题就出在操作不完整,只了DNAT配置的一部分。完整步骤如下 0、场景介绍 192.168.1.81:ip81服务器上,启了一个nginx,端口80 192.168.1.57:ip57服务器,在这台上添加防火墙规则,让其他服务器能够通过ip57的800端口访问ip81的web服务 192.168.1.222:ip222服务器为同一内网中的验证服务器,验证DNAT是否配置成功 1、打开内核转发功能 echo "net.ipv4.ip_forward=1"
通过curl本地端口地址,返回html,外部不可访问怎么解决
03-12
<think>好的,我现在需要解决用户的问题:如何配置本地服务器端口,使得通过curl访问时不仅可以返回正确内容,还能让外部网络访问。根据用户提供的引用内容,我需要综合这些信息来给出解决方案。 首先,用户提到使用SSH隧道将外网服务器端口映射到本地,比如8080端口,这样在本地浏览器可以访问。但可能遇到的问题是,当使用curl访问本地端口时,只能返回HTML,或者外部无法访问。这可能涉及到几个方面:服务绑定地址、防火墙设置、端口转发或代理配置,以及可能的容器网络配置。 引用[1]中,用户通过SSH隧道将服务器的8080端口映射到本地的8080端口。这种情况下,本地服务实际上是通过SSH隧道连接到远程服务器的,因此需要确保服务器上的服务正在监听正确的接口。例如,如果服务器上的服务仅绑定到127.0.0.1,那么即使通过SSH隧道映射,可能也只能在本地访问,而外部无法直接访问。需要检查服务是否绑定到0.0.0.0,以允许外部连接。 引用[2]提到Ollama服务默认绑定到127.0.0.1的11434端口,导致外部无法访问。解决方法是通过设置环境变量OLLAMA_HOST来改变绑定的地址。这提示用户需要调整服务的绑定地址,确保服务监听0.0.0.0,而不仅仅是本地回环地址。 引用[3]指出在Linux容器中,即使暴露了端口,外部仍然无法访问,可能因为容器配置问题或防火墙限制。例如,Docker可能需要正确映射端口,并且防火墙需要允许该端口的流量。此外,容器网络模式也可能影响外部访问。 综合这些信息,我需要分步骤指导用户检查服务绑定地址、防火墙设置、SSH隧道配置,以及可能的容器网络配置。例如,首先确认服务是否监听0.0.0.0:端口,然后检查防火墙是否开放该端口,接着确保SSH隧道正确映射,最后如果是容器应用,检查端口映射和网络设置。 用户的问题还可能涉及到curl返回HTML的问题,这可能是因为服务返回的是HTML内容,而用户期望其他格式,比如JSON。或者,curl命令可能需要添加特定的头信息来正确获取响应。不过用户的主要诉求是外部访问,因此需要优先解决网络配置问题。 总结解决步骤: 1. 确保服务绑定到0.0.0.0而非127.0.0.1。 2. 检查服务器防火墙,开放对应端口。 3. 正确配置SSH隧道,确保端口映射正确。 4. 如果是容器应用,检查Docker端口映射和网络设置。 5. 测试外部访问,使用curl或浏览器验证。 同时,生成相关问题,帮助用户深入理解可能涉及的方面,比如服务绑定配置、防火墙管理、SSH隧道优化,以及容器网络配置等。</think>### 分步解决方案 #### **步骤1:确认服务绑定地址** 服务默认可能仅绑定在本地回环地址$127.0.0.1$,需修改为监听所有网络接口$0.0.0.0$: 1. 检查服务配置文件(如Nginx、Flask、FastAPI等),将`host`参数设为$0.0.0.0$ - 例如Flask启动命令:`flask run --host=0.0.0.0 --port=8080` 2. 若使用容器(如Docker),确保启动命令包含`-p 主机端口:容器端口`,例如:`docker run -p 8080:8080 ...`[^3] #### **步骤2:检查防火墙配置** 开放服务器对应端口: 1. Linux系统使用`ufw`或`iptables`放行端口: ```bash sudo ufw allow 8080/tcp sudo ufw reload ``` 2. Windows系统需在防火墙高级设置中添加入站规则 #### **步骤3:验证SSH隧道配置** 确保SSH隧道正确映射远程端口到本地: ```bash ssh -CNg -L 本地端口:远程服务器IP:远程服务端口 用户名@服务器域名 -p SSH端口 ``` - 示例:将远程8080映射到本地8080: `ssh -CNg -L 8080:0.0.0.0:8080 user@example.com -p 22`[^1] #### **步骤4:处理容器网络问题** 若服务运行在容器内: 1. 检查容器网络模式是否为`bridge`,并正确映射端口 ```bash docker run -d --name myapp -p 8080:8080 myimage ``` 2. 确保容器内部服务监听$0.0.0.0$,而非仅$127.0.0.1$[^3] #### **步骤5:测试外部访问** 1. 本地测试:`curl http://127.0.0.1:8080/api` - 若返回HTML,检查服务是否配置了API路由 2. 外部设备访问:通过另一台设备访问`服务器公网IP:8080` - 若失败,排查防火墙或云服务商安全组规则 --- ### 相关问题 1. 如何验证服务是否成功绑定到$0.0.0.0$? 2. SSH隧道端口映射失败的可能原因有哪些? 3. Docker容器端口映射无效时如何调试? 4. 如何通过Nginx反向代理实现外部访问? --- ### 引用说明 : SSH隧道通过将远程端口映射到本地实现服务访问,需确保命令格式正确且网络策略允许。 [^2]: 修改服务绑定地址(如设置$OLLAMA_HOST=0.0.0.0$)可解除仅本地访问限制。 : Docker需同时配置容器端口映射和宿主防火墙规则,避免出现“Connection refused”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值