【iptables】CentOS7.x用iptables实现端口转发

一、关于NAT

NAT（Network Address Translation），分为DNAT（Destination）和SNAT（Source）。

DNAT（Destination Network Address Translation,目的地址转换) 通常被叫做目的映射，使用PREROUTING，用于外网访问内网里的主机服务器，透明转发或端口映射。

SNAT（Source Network Address Translation，源地址转换）通常被叫做源映射，使用POSTROUTING，用于内网里的主机，访问外网，即分享公网IP。

二、开启操作系统的IP转发

如果操作系统的IP转发默认是关闭的，首先开启IP转发功能。

# echo 1 > /proc/sys/net/ipv4/ip_forward

# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

# sysctl -p

三、应用实例

# 基于FORWAR默认策略为ACCEPT

iptables -t filter -P FORWARD ACCEPT

# 将跳板机 192.168.111.102:8888 转发到 192.168.111.103:4444

iptables -t nat -A PREROUTING -p tcp -d 192.168.111.102 --dport 8888 -j DNAT --to-destination 192.168.111.103:4444

iptables -t nat -A POSTROUTING -p tcp -d 192.168.111.103 --dport 4444 -j SNAT --to-source 192.168.111.102

# 将跳板机 192.168.111.102:8888 转发到 192.168.111.103:4444

iptables -t nat -A PREROUTING -p tcp -d 192.168.111.102 --dport 8888 -j DNAT --to-destination 192.168.111.103:4444

iptables -t nat -A POSTROUTING -p tcp -s 192.168.111.103 --sport 4444 -j SNAT --to-source 192.168.111.102

# 将对192.168.1.102的22访问，转发到192.168.1.103的22

iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination 192.168.0.3

iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.3 -j SNAT --to-source 192.168.0.2

# 将本机大网xx.xx.xx.xx:6033 的访问，转发到本机小网192.168.1.120:6033

iptables -t nat -A PREROUTING --dport 6033 -j DNAT --to-destination 192.168.1.120

iptables -t nat -A POSTROUTING --dport 6033 -j MASQUERADE

# 对跳板机0.0.0.0:6033 的访问转发到 192.168.1.120:3306

iptables -t nat -A PREROUTING --dport 6033 -j DNAT --to-destination 192.168.1.120:3306

iptables -t nat -A POSTROUTING -j MASQUERADE

# 本机转发

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-ports 80

# 如果FORWAR默认策略为DROP，需要针对性地设置FORWAR策略

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

# 查看filter nat 策略

iptables -t filter -nvL --line

iptables -t nat -nvL --line

# 关于策略的删除，将-A 改为 -D，或者指定策略行号

iptables -t nat -D PREROUTING -p tcp --dport 8080 -j REDIRECT --to-ports 80

iptables -t nat -D 相应策略的行号

四、关于iptables策略的开机加载

命令行执行的iptables策略，只本队本次有效，如果服务器重启，策略失效！

那么，怎么实现iptables策略的开机加载呢？将需要执行的iptables策略成一个脚本，并实现开机执行。

# sh /usr/local/bin/load_iptables.sh

# chmod +x /etc/rc.d/rc.local

# echo "/usr/bin/bash /usr/local/bin/load_iptables.sh" >> /etc/rc.d/rc.local

# echo "exit 0" >> /etc/rc.d/rc.local

五、参考

iptables

https://www.jianshu.com/p/d4efe88c20d2

理解iptables中DNAT、SNAT和MASQUERADE

https://www.jianshu.com/p/beeb6094bcc9

CentOS下开启配置端口转发

https://blog.csdn.net/qq_31427413/article/details/86553881

iptables之FORWARD转发链

https://blog.51cto.com/linuxcgi/1965296

iptables FORWARD and INPUT

https://stackoverflow.com/questions/12945233/iptables-forward-and-input

Products & ServicesProduct Documentation>Red Hat Enterprise Linux>Security Guide>2.8.1.1. IPTables Overview

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html-single/security_guide/index#sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules

细述iptables防火墙规则脚本

https://www.centos.bz/2019/07/%E7%BB%86%E8%BF%B0iptables%E9%98%B2%E7%81%AB%E5%A2%99%E8%A7%84%E5%88%99%E8%84%9A%E6%9C%AC

最后编辑于：2019.12.07 19:46:50