使用iptables实现外网转发内网

最新推荐文章于 2024-03-04 14:30:59 发布
最新推荐文章于 2024-03-04 14:30:59 发布
阅读量8.2k 收藏 8
点赞数
分类专栏: 网络编程 文章标签: iptables server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiccupzhu/article/details/51073557
版权

server1: 外网ip w.w.w.w 内网ip n.n.n.n

server2: n2.n2.n2.n2:27017  (mogodb端口)

目标:外部访问server1 w.w.w.w:27017 转发到 n2.n2.n2.n2:27017 

1、开启linux转发功能:

   echo 1 > /proc/sys/net/ipv4/ip_forward

   vi /etc/sysctl.conf,把net.ipv4.ip_forward设置成1,如:net.ipv4.ip_forward = 1

   优点:重启服务器或网络服务后自动开启ip转发功能

   修改立即生效

   sysctrl -p

2、实现转发:

   PREROUTING 和 POSTROUTING 区别:

            落实到网卡上,对于每个网卡数据流入的时候必然经过pre,数量流出必然经过post。

  #当数据包进入路由时,将目标ip为w.w.w.w的数据包的目的ip修改为n2.n2.n2.n2

  iptables -t nat -A PREROUTING -d w.w.w.w -p tcp --dport 27017 -j DNAT --to n2.n2.n2.n2

  #当数据包发出时,将其目的ip为n2.n2.n2.n2的 源ip地址 修改为 n.n.n.n

  iptables -t nat -A POSTROUTING -d n2.n2.n2.n2 -p tcp --dport 27017 -j SNAT --to n.n.n.n

  # 允许路由转发 目的ip为n2.n2.n2.n2 目的端口为 27017 的所有包

  iptables -A FORWARD -p tcp -d n2.n2.n2.n2 --dport 27017 -j ACCEPT

[http://blog.csdn.net/hiccupzhu/article/details/51073557]

知识扩充

1. 首先要明白什么是"PREROUTING" ,什么是"POSTROUTING",我们可以简单的用下面的关系来表示:
源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据

当你使用:iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to 192.168.1.40
时,你访问1.2.3.4,linux路由器会在“路由规则”之前将目的地址改为192.168.1.40,并且Linux路由器(iptables)会同时记录下这个连接,并在数据从192.168.1.40返回时,经过linux路由器将数据发送到那台发出请求的机器。所以你的"POSTROUTING"规则没有起作用。

而"POSTROUTING"是“路由规则”之后的动作。

2. PREROUTING的应用
一般情况下,PREROUTING应用在普通的NAT中(也就是SNAT),如:你用ADSL上网,这样你的网络中只有一个公网IP地址(如:6.129.6.5),但你的局域网中的用户还要上网(局域网IP地址为:192.168.1.0/24),这时你可以使用PREROUTING(SNAT)来将局域网中用户的IP地址转换成6.129.6.5,使他们也可以上网:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -j SNAT 6.129.6.5


3. POSTROUTING的应用
POSTROUTING用于将你的服务器放在防火墙之后,作为保护服务器使用,例如:
A.你的服务器IP地址为:192.168.1.2;
B.你的防火墙(Linux & iptables)地址为192.168.1.1和20.96.12.5

Internet上的用户可以正常的访问20.96.12.5,但他们无法访问192.168.1.2,这时在Linux防火墙里可以做这样的设置:
iptables -t nat -A POSTROUTING -d 20.96.12.5 -j DNAT 192.168.1.2

结:最要紧的是我们要记住PREROUTING是“路由规则”之前的动作,POSTROUTING是“路由规则”之后的动作!

4. SNAT,DNAT,MASQUERADE的区别

SNAT,DNAT,MASQUERADE都是NAT
MASQUERADE是SNAT的一个特例
SNAT是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机
MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE
DNAT,就是指数据包从网卡发送出去的时候,修改数据包中的目的IP,表现为如果你想访问A,可是因为网关做了DNAT,把所有访问A的数据包的目的IP全部修改为B,那么,你实际上访问的是B

因为,路由是按照目的地址来选择的,因此,DNAT是在PREROUTING链上来进行的,而SNAT是在数据包发送出去的时候才进行,因此是在POSTROUTING链上进行的

[http://blog.csdn.net/hiccupzhu/article/details/51073557]

天好蓝
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSH端口转发实现内网穿透的实现
01-10
我们局域网的机器能够访问外网,但是外网不能访问内网。因为内网访问互联网时候能确定外网的地址,外网却不能确定我们局域网内的具体地址。(ip地址有限)如果 我们在访问外网的时候,这个链接让他保持、不断,那么这个链接就相当于我们建了一条路,内网数据能出去,外网数据能进来,ssh也是这个方法。 使用ssh命令链接公网服务器 1、首先在外网服务器上编辑sshd的配置文件 vim /etc/ssh/sshd_config #将GatewayPorts 开关打开 GatewayPorts yes 重启sshd服务,使用修改生效(linux 版本不同命令可能会有差异) systemctl restart
网络桥接后通过iptables网络转发例子
10-10
通过桥接转发方式共享网络,分别可以使用以下方式: 通过ETH0连接互联网,ETH1和wlan1作为下联转发eth0网络 通过wlan0连接互联网,ETH1和wlan1作为下联转发wlan0网络 通过ppp0连接互联网,ETH1和wlan1作为下联转发ppp0...
使用公网IPv6远程访问内网设备
Ccccxc的博客
03-20 1万+
IPv4公网IP一号难求的环境下,如何优雅的使用公网IPv6进行远程访问?本文将以中国移动的宽带和光猫为例,进行IPv6的设置说明,并实现通过IPv6地址和Windows系统自带的远程工具"mstsc",远程访问内网的Windows主机。
iptables实现外网端口映射及转发上网
最新发布
qq_58733481的博客
03-04 491
某192.168.1.0/24内网网段内只有一台主机A连接到了公网,A的两块网卡分别有一个公网地址(369.258.147.222)和一个内网地址(192.168.1.10),现需要内网的另一台主机B(192.168.1.77)连接到互联网下载某些东西,同时将B的某服务端口开放到公网上,两台主机的系统均为CentOS7。在主机B运行redis服务后,扫描369.258.147.222的13679端口,发现已经是开启状态,端口转发成功。OK,现在在主机B ping一个公网网址,发现已经可以ping通了。
如何实现外网访问内网ip?公网端口映射或内网映射来解决
asdaddsd的博客
02-18 6261
内网IP只能在局域网内互连互通,并不能直接提供外网访问,跨网外网访问需求时,可以将内网IP转换成公网IP或域名地址方式。需要注意的是路由映射的先决条件是需要明确有本地路由权限,且需要明确本地路由WAN口获取的是公网IP地址。为了进一步保证企业访问的安全性,快解析域名不仅支持https协议、免开端口,同时在无忧版、钻石版、旗舰版、星耀版增加了访问白名单、访问密码功能,让企业数据更安全。填写好对应内网地址和内网端口号,本机用127.0.0.1格式,非本机地址应用的用固定不变的内网地址格式。
使用 iptables 进行端口转发
weixin_30556161的博客
09-09 207
端口转发用来中转国外的虚拟机例如远程桌面 效果非常明显,iptables不仅支持单端口,连端口段也可以转发,同时TCP/UDP均可 特别注明:本地服务器 IP 未必是公网 IP ,像阿里云就是内网 IP ,请用 ipconfig 确认下走流量的网卡 IP 是外网还是内网。 第一步:开启系统的转发功能vi /etc/sysctl.conf将net.ipv4.ip_forward=0修改成n...
快速内网穿透教程,内网穿透教程,通过公网IP服务器进行数据流量转发
旋律 | 话语 | 色彩 | 情景
08-10 1748
内网穿透教程,通过公网IP服务器进行数据流量转发
防火墙iptables转发规则-增加、删除、查看
热门推荐
05-29 1万+
前言:编辑vi /etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默认是0    这样允许iptalbes FORWARD 开启IPV4转发1.#增加iptables -t nat -A PREROUTING -p tcp --dport 指定端口 -j REDIRECT --to-ports 53 iptables -t nat -A PREROUTIN...
防火墙iptables转发规则
折剑听雨落
05-20 3815
转载:地址 1.#增加 iptables -t nat -A PREROUTING -p tcp --dport 指定端口 -j REDIRECT --to-ports 53 iptables -t nat -A PREROUTING -p udp --dport 指定端口 -j REDIRECT --to-ports 53 类如: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 56
iptables 配置端口及转发
Sunnyqiong1117的博客
12-10 332
iptables端口转发指令:iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443 iptables配置文件位置 :cat/etc/sysctl.conf vim /etc/sysctl.conf (i:进入...
iptables端口转发命令
weixin_30951743的博客
09-04 106
需求很简单,把本地81端口映射到8080端口上 1. 所有的81请求转发到了8080上. 1 # iptables -t nat -A PREROUTING -p tcp --dport 81 -j REDIRECT --to-ports 8080 如果需要本机也可以访问,则需要配置OUTPUT链: ...
路由器安装adguardhome
至死是少年
09-06 1879
防火墙在这里卡住了好久,看的教程全都是说删掉这个,我的防火墙配置里并没有这些东西,路由器可以进行dns解析,就是终端无法使用dns解析,因为这里拦截了所有dns请求,所以还要设置重定向到adguard,我这里防火墙必须设置,否则终端。
通过iptables实现端口转发内网共享上网.docx
09-30
通过iptables实现端口转发内网共享上网
iptables实现转发ftp的访问请求
05-29
iptables实现转发ftp的访问请求
centos6.5 iptables实现端口转发
02-05
将本地3389端口 转发到192.168.10.210的22(主要访问到本机的15210端口,就会跳转到192.168.10.210的22) 【步骤】 1、 首先应该做的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默认是0 这样允许...
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptables和ipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct...
简单的UDP-Server
天好蓝
05-20 1026
#include #include #include #include #include #include #include int main(int argc, char* argv[]){ char buf[1024]; int i, sockfd, ret; struct sockaddr_in dest_addr; sockfd = soc
网络编程专栏中用到的Makefile
天好蓝
05-20 992
CC=gcc CFLAGS=-g LDFLAGS= #INCLUDE= #LIBS= OUTDIR=.bin EXAMPLES += udpserver udpclient tcpserver tcpserver2 tcpclient select epoll OBJS=$(addsuffix .o,$(EXAMPLES)) #all: # mkdir -p $(OUTDIR)
centos8 内网网卡通过外网网卡转发流量配置
05-26
在CentOS 8上,可以使用以下步骤将内网网卡的流量转发外网网卡: 1. 确保内网网卡和外网网卡都已正确配置并正常工作。 2. 打开内核IP转发功能。在终端中运行以下命令: ``` sudo sysctl -w ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值