すのはら荘春原庄的雪

iptables和firewalld实现远程端口转发

Toretto·2024-10-01 16:12·18 次阅读

iptables和firewalld实现远程端口转发

iptables实现端口转发#

在这里插入图片描述

端口转发顺序:

经过linux网关的流量.先PREROUTING(是否改地址)

然后路由,转发给FORWARD(转发或者丢弃)

最后经过POSTROUTING(看看改不改地址)

环境准备

机器 A IP:192.168.13.111
机器 B IP:192.168.13.112
目标端口:80
使用iptables实现,访问A机器的80,可以跳转到B机器的80端口(nginx)

关闭防火墙 开启iptables

systemctl stop firewalld
systemctl start iptables

机器A开启数据转发

# 临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward

# 永久开启 编辑/etc/sysctl.conf 并添加
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
# 执行sysctl -p生效
sysctl -p   

配置iptables规则

# 添加 PREROUTING 规则,将流量转发到 B 机器
iptables -t nat -I PREROUTING -p tcp -d 192.168.13.111 --dport 80 -j DNAT --to-destination 192.168.13.112:80

-t nat: 指定 NAT 表,用于网络地址转换。
-A PREROUTING: 在数据包到达时进行处理,适用于入站流量。
-p tcp: 仅匹配 TCP 协议的数据包。
-d 192.168.13.111: 目标 IP 地址是 192.168.13.111。
--dport 80: 目标端口是 80。
-j DNAT: 使用目标 NAT 规则。
--to-destination 192.168.13.112:80: 将目标地址和端口更改为 192.168.13.112:80。
# 出站流量的 SNAT
iptables -t nat -I POSTROUTING -d 192.168.13.112 -p tcp --dport 80 -j SNAT --to 192.168.13.111
-t nat: 指定 NAT 表。
-A POSTROUTING: 在数据包离开时进行处理,适用于出站流量。
-j MASQUERADE: 伪装源地址,适用于动态 IP 地址。

机器B准备

机器B安装nginx 并将页面内容设置为192.168.13.112

启动nginx

测试访问机器B

image-20241001152758528

测试访问机器A

image-20241001153252573

firewalld实现端口转发#

环境准备

机器 A IP:192.168.13.111
机器 B IP:192.168.13.112
目标端口:80
使用firewalld实现,访问A机器的80,可以跳转到B机器的80端口(nginx)

关闭iptables 开启防火墙

systemctl stop iptables
systemctl start firewalld

机器A开启数据转发

# 临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward

# 永久开启 编辑/etc/sysctl.conf 并添加
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
# 执行sysctl -p生效
sysctl -p   

配置firewalld规则

# 使用 firewall-cmd 添加端口转发规则:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" forward-port port=80 protocol=tcp to-addr=192.168.13.112 to-port=80'

--permanent: 确保规则永久生效,重启后仍然有效。
--add-rich-rule: 添加一条高级规则。
rule family="ipv4": 指定规则适用于 IPv4 协议。
forward-port port=80: 指定源端口为 80。
protocol=tcp: 仅匹配 TCP 协议。
to-addr=192.168.13.112: 将流量转发到这个目标 IP 地址。
to-port=80: 将流量转发到目标的 80 端口。
# 启用IP伪装

firewall-cmd --permanent --add-masquerade

--add-masquerade: 允许内部网络的设备通过 A 机器访问外部网络

重载防火墙规则

firewall-cmd --reload

机器B准备

机器B安装nginx 并将页面内容设置为192.168.13.112

启动nginx

测试访问机器B

image-20241001152758528

测试访问机器A

image-20241001153252573
posted @   BoForest  阅读(18)  评论(0编辑  收藏  举报  
相关博文:
阅读排行:
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 我与微信审核的“相爱相杀”看个人小程序副业
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· spring官宣接入deepseek,真的太香了~
点击右上角即可分享
微信分享提示
目录