使用iptables做4层端口转发

发表于2022-07-19|更新于2024-10-31|基础运维

|浏览量:

用途：有两台机器，需要用其中的一台机器做跳板，转发另一台机器一个特定的端口，机器列表如下

机器	IP
iptables 机器	10.0.0.41
web 服务器	10.0.0.42:8000

开启内核转发功能

1	sudo sysctl -w net.ipv4.ip_forward=1

或者

1	echo "1" > /proc/sys/net/ipv4/ip_forward

sudo vim /etc/sysctl.conf

# 保证是这个配置
net.ipv4.ip_forward=1

# 立即生效
sudo sysctl -p

本地端口转发到本地端口

1 2	# 访问本地的2222端口，转发到本地的22端口 iptables -t nat -A PREROUTING -p tcp --dport 2222 -j REDIRECT --to-port 22

转发请求到目标主机

这是通过本主机做一个跳转，比如访问 A 的 80 端口转发到 B 的 8000 端口

iptables -t nat -A PREROUTING -4 -p tcp -d 10.0.0.41 --dport 80 -j DNAT --to-destination 10.0.0.42:8000

# 转发数据包回路
iptables -t nat -A POSTROUTING -4 -p tcp -d 10.0.0.42 --dport 8000 -j MASQUERADE

其他操作

操作	命令
查看 nat 表	sudo iptables -t nat -L
清空 nat 表配置	sudo iptables -t nat -F
查看 filter 表	sudo iptables -L
清空 filter 表	sudo iptables -F

iptables 持久化

请看 iptables进行持久化配置，重启不丢失

文章作者: 张理坤

文章链接: https://zahui.fan/posts/5e8ed38b/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源杂烩饭！

网络 iptables

相关推荐

Iptables进行持久化配置，重启不丢失

操作文档针对 ubuntu20 和 centos 系统，其他系统类似。iptables-save 命令其实只是把配置文件打印出来，并不会真的 save，这个有点容易让人误解。针对 ubuntu 平台ubuntu20 需要安装 iptables-persistent 才能实现持久化 1apt install iptables-persistent 持久化的配置文件保存在 12345# 针对ipv4/etc/iptables/rules.v4# 针对ipv6/etc/iptables/rules.v6 手动保存当前配置 12345# 针对ipv4sudo iptables-save > /etc/iptables/rules.v4# 针对ipv6sudo ip6tables-save > /etc/iptables/rules.v6 针对 centos 平台安装包 iptables-services 1sudo dnf install...

WSL新的网络模式-mirrored镜像网络

刚开始我用 Hyper-V 自定义内部网络网段和IP地址配置 Hyper-V 并创建了几台虚拟机，但是和 WSL 的网络不通，解决方案可以是将 Hyper-V 虚拟机只接使用 WSL 的网络适配器。不过 2023 年 9 月的 WSL 更新添加了一些新的实验性功能，其中包括一些关于新的网络模式“镜像”。镜像网络带来了一些实用的特性，例如将 WSL 中的服务开放到局域网（之前是 NAT 网络，只有主机可以通过 localhost 访问）。更新日志中提到，镜像网络带来的新特性如下： IPv6 支持在 Linux 中通过 127.0.0.1 访问 Windows 服务通过局域网直接连接 WSL 对 VPN 更好的兼容性多播支持安装使用首先，这项特性需要 22621.2359 及以上版本的 Windows 11 以及 2.0 以上版本的 WSL。使用 wsl --version 命令可以检查是否符合需求，wsl --update 命令可以更新 WSL。 12345678C:\Users\iuxt>wsl --versionWSL 版本： 2.1.5.0内核版本：...

Windows将网络修改为专用网络或公用网络

一般来说新增一个网络适配器，会有个提示框， windows 老是改逻辑，在 windows 7 时代在控制面板里是可以直接修改的，但是在 Windows 11 已经不能修改了。有什么影响会影响到防火墙策略，比如在专用网络下，局域网内是可以网络发现其他设备的。比如我用 zerotier ，家里的电脑 zerotier 的网卡设置成了公用网络，那么就不能 rdp 远程连接家里电脑了。修改方法需要以管理员身份运行 PowerShell 来执行： 12345678910111213141516171819PS C:\Users\iuxt> Get-NetConnectionProfileName : CMCC-CaptainInterfaceAlias : WLANInterfaceIndex : 13NetworkCategory : PrivateDomainAuthenticationKind : NoneIPv4Connectivity :...

检查端口是否能通的几种方法

服务器上运行了一个服务，想测试一下端口通不通，可以通过以下一些方法来测试。 telnet常见的 tcp 端口测试都是用的 telnet，用法也很简单 1telnet 10.0.0.7 22 成功会显示： 1234Trying 10.0.0.7...Connected to 10.0.0.7.Escape character is '^]'.SSH-2.0-OpenSSH_7.4 失败会显示： 12Trying 10.0.0.7...telnet: Unable to connect to remote host: Connection refused ssh使用 1ssh root@localhost -p 8000 失败会显示 1ssh: connect to host localhost port 8001: Connection refused curlcurl ip:port 失败会显示 1curl: (7) Failed to connect to localhost port 8001: Connection...

使用tailscale打通内网

家里有一台群晖 nas, 通过 quickconnect 连接太慢了, 并且有些操作不能通过 quickconnect, 比如直接 smb 挂载目录群晖 nas 安装群晖国内应用商店已经下架了这个 APP, 你可以尝试着在应用中心搜索 tailscale, 如果可以搜索到, 就直接安装即可. 搜索不到的话, 可以使用离线安装的方式: 到官网下载离线 SPK 包:https://pkgs.tailscale.com/stable/#spks根据你的系统架构来下载包, intel cpu 下载 x86_64 架构的包. 然后进入群晖软件中心, 点击手动安装, 上传 spk 包安装第一次打开 tailscale 需要登录, 登录页面不支持 quickconnect 远程连接, 所以建议在家配置好 tailscale windows 安装安装成功后，右键任务栏图标，点击 login 登录 tailscale 账号登录成功后，可以在官网https://login.tailscale.com/admin/machines 查看到所有的设备和 IP...

Fail2ban配合Docker使用解决暴力破解

fail2ban 正常使用可以参考使用Fail2ban抵御暴力破解和cc攻击，但是对于使用了 Docker host 网络的容器来说是不生效的。原因最后说，我们先复原一下部署情况环境现状服务器是我自己的服务器，使用 Nginx 做入口，反向代理到不同的后端，后端服务和 Nginx 都是运行在 Docker 里，使用 Docker 的自定义网络进行互联。其中 Nginx 容器使用的是 Host 网络配置 fail2ban确定 Docker 版 Nginx 日志路径Linux 内一切皆文件，Docker 会将日志写入到主机的一个日志文件中。通过 1docker inspect nginx --format "{{.LogPath}}" 可以查看到容器的日志位置创建配置文件 /etc/fail2ban/jail.d/nginx-cc.conf123456789[nginx-cc]enabled = trueport = http,httpsfilter = nginx-ccaction =...

评论

数据加载中