记一次ubuntu利用iptables做端口转发的操作

最新推荐文章于 2023-11-12 11:57:45 发布
最新推荐文章于 2023-11-12 11:57:45 发布
阅读量8.9k 收藏 9
点赞数 2
分类专栏: Linux疑难杂症
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Victor2code/article/details/104391492
版权

同事从海外远程连接国内某云上的一台机器3389端口,发现因为运营商路由原因非常慢,找运营商修改路由又非常麻烦。于是曲线救国,找了国内一台到两边访问都较快的机器做为跳板,做一个端口转发,以加速云机器3389端口的访问。这里记录下思路和操作。

我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。

文章目录

网络拓扑图

如下,图中ip均为虚构。

主要目的就是通过配置跳板机的防火墙转发规则,使得访问1.1.1.1:21521的流量自动转发到2.2.2.2:3389

跳板机环境:ubuntu 16.04

1-network.jpg

iptables & ufw

iptables是linux中最常用的防火墙服务。

同样是iptables服务,centos是直接管理的,而可能是觉得iptables的一些命令对于初学者太复杂,ubuntu是通过ufw这个服务来管理的。

ufw有下面两类命令:

  • ufw命令 - 用来启动,停止,重启防火墙服务以及一些简单的规则设定
  • iptables命令 - 和centos中的操作一样,用来创建,查看,删除各种防火墙规则

常规使用直接用ufw命令就可以了,但是涉及到像端口转发这种比较复杂功能的实现,我们还是需要用iptables命令来完成。

ufw命令

  • 查看ufw状态
sudo ufw status

显示如下说明ufw已经处于激活状态

Status: active

我试了一下使用systemctl status ufwservice ufw status都不能正常返回ufw的状态,非常奇怪。

  • 停掉ufw服务
sudo ufw disable
  • 启动ufw服务
sudo ufw enable
  • 重启ufw服务
sudo ufw reload

iptables命令

iptables命令的格式如下

sudo iptables [-t table] -A/-D/-I/... CHAIN rule -j Target
  • 其中CHAIN一共有五个,分别为PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

如果一个包是发送给本机的,那么会依次经过

PREROUTING -> INPUT -> Kernel -> OUTPUT -> POSTROUTING

而像我们这种纯粹要被转发的包,会依次经过

PREROUTING -> FORWARD -> POSTROUTING

所以待会我们需要对这三个CHAIN进行操作。

  • 再来看这个table,一共有四个,分别是filer,nat,mangle和raw。因为涉及到SNAT和DNAT,所以待会我们主要是操作nat这个table

  • 至于rule,我们会根据目的端口和ip来匹配要被转发的包。

  • 最后是target,一个包从进来遇到PREROUTING,首先会被修改目的地址和端口,然后在FORWARD中被放行,最后在离开机器从POSTROUTING出去时会被修改源地址。

iptables的讲解不在这篇文章的范围内,如果想了解更多iptables的原理,欢迎关注我的csdn博客。

实际操作

以下操作没特殊说明都是在跳板机上执行

  • 检查先决条件

首先确保跳板机上可以ping到目标机器,并且在没有防火墙的情况下可以telnet到目标机器的目标端口

telnet 2.2.2.2 3389

打开ufw服务

sudo ufw enable
  • 打开内核转发开关
echo 1 > /proc/sys/net/ipv4/ip_forward
  • 允许回包
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  • iptables允许转发
sudo iptables -P FORWARD ACCEPT

可以通过sudo iptabls -nvL FORWARD --line-numbers来验证结果

  • 实现DNAT
sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 21521 -j DNAT --to-destination 2.2.2.2:3389

对于目标端口为21521的TCP连接,全部修改目的地址为2.2.2.2:3389。回包会自动被改回来,所以不用为回包再特意配置一个SNAT了。

可以通过sudo iptables -nvL PREROUTING -t nat --line-numbers来验证结果

  • 实现SNAT
sudo iptables -t nat -A POSTROUTING -d 2.2.2.2/32 -p tcp -m tcp --dport 3389 -j MASQUERADE

对于访问2.2.2.2:3389的包,全部修改源地址为出口ip的地址。回包会自动被改回来,所以不用为回包再特意配置一个DNAT了。

可以通过sudo iptables -nvL POSTROUTING -t nat --line-numbers来验证结果

  • 验证结果

在本地telnet 1.1.1.1 21521如果通了表示配置完成

  • 如果要删除规则

首先查询某条规则在某个CHAIN中的行号,例如

sudo iptables -nvL INPUT --line-numbers

然后根据行号来删除,例如删除行号为9的规则

sudo iptables -D INPUT 9
  • 保存iptables规则
sudo iptables-save > /home/xiaofu/iptables.txt

可以把下面的脚本放到/etc/profile中开机自动恢复iptables

sudo iptables-restore < /home/xiaofu/iptables.txt

一些坑

  • 假如在跳板机上telnet目标机器的3389端口不通,但是从另外一台机器确认目标机器的3389确实是可以telnet到的,需要检查下跳板机上OUTPUT中是否有规则限制了出包或者是INPUT中限制了回包
  • 修改完iptables是直接生效,不需要reload ufw
  • 一旦reload ufw,那么FORWARD的默认规则又变成DROP,会导致失败
  • 表面上看需要在跳板机上打开21521端口进来,但亲测不用,因为包根本不会走到INPUT
sudo iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 21521 -j ACCEPT
  • ufw加了很多自己的CHAIN进来,所以查询的时候最好带上CHAIN的名字去查,不然很痛苦。如果是查PREROUTING和POSTROUTING记得加上-t nat
T型人小付
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu 防火墙IP转发NAT,内网集群共享网络(简单)
ZJ412823的博客
05-22 1377
服务器架构: 系统: Ubuntu 16.04 x64 使用自带防火墙 UFW 操作: 在有公网的服务器上,进行防火墙基本操作开启自己所需业务的端口,并按下方设置启动NAT; 其他内网机器修改网关或者路由表,即可使用NAT共享网络 UFW基本操作: 查看当前状态和防火墙规则 ufw status    #Status: active 服务激活;如果没有配置规则...
Ubuntu 端口转发配置【录自用】
最新发布
zscredstone的博客
06-28 433
Ubuntu上连接两个不同的网络,网络A 和网络B, 实现网络A中一个设备通过ubuntu的一个端口转发数据到网络B中指定设备的端口上。在安装过程中,你会被要求确认是否将当前的iptables规则保存到文件中。选择"是",然后继续进行安装。安装完成后,iptables-persistent会自动加载保存的iptables规则文件。从Ubuntu 端口3389接收到的数据转发到 50.50.1.95:3389。iptables是 Linux 上用于配置防火墙的工具。查看ip_forward文件是否为1。
Ubuntu环境下的iptables端口转发配置实例
家辉自留地
02-19 3万+
Ubuntu环境下的iptables端口转发配置实例 作者:雨水, 日期:2016-2-19,CSDN博客:http://blog.csdn.net/gobitan 打开转发开关 要让iptables端口转发生效,首先需要打开转发开关 方法一:临时打开,重启后失效 $sudo su #echo 1 >/proc/sys/net/ipv4/ip_forward 方法二:永久
Ubuntu 18 iptables 端口转发配置
qq_28055315的博客
10-13 1098
场景:ubuntu宿主机(192.168.0.10)通过kvm NAT模式创建了虚拟机A(192.168.122.114),需要通过宿主机用端口转换方式访问虚拟机A的3389端口和9000端口 iptables -t nat -F #删除指定链或所有链的规则, iptables -t nat -X #删除指定的用户自定义链 iptables -L #添加允许入站流量的规则 iptables -A INPUT -m conntrack --ctstate ES..
ubuntu下配置iptables、ufw端口转发
weixiao的博客
12-19 9221
iptables 端口转发(CentOS) 注意:一来一去 在中转服务器操作 iptables -t nat -A PREROUTING -p tcp --dport [端口号] -j DNAT --to-destination [目标IP] iptables -t nat -A POSTROUTING -p tcp -d [目标IP] --dport [端口号] -j SNAT --to-source [中转服务器IP] 不同端口转发 本地网络连接的端口依旧是10010,而不是1...
iptable端口转发
mfzabc的博客
08-02 1456
iptables -t nat -A PREROUTING -p tcp –dport 80 -j REDIRECT –to-ports 8080 iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 –dport 80 -j REDIRECT –to-ports 8080以上两条指令可将80端口的请求转发到8080
ubuntu双网卡设置内外网上网问题,实现路由转发
11-12
### Ubuntu 双网卡设置内外网上网问题及路由转发详解 #### 一、背景介绍 在企业级网络环境中,有时需要让一台计算机同时连接到不同的网络,并在这两个网络之间进行数据转发。例如,在某些场景下,我们需要一台...
iptables-webui:IP 表的 WebUI [WIP]
06-12
一个很好的iptables命令的 webui,用 NodeJS 编写。 目前正在进行中。 安全 此 WebUI 不打算用作一般访问长期运行的 Web 服务器。 而是假设以下流程: 用户通过 SSH 连接到带有端口转发的远程服务器,例如: ssh ...
UBUNTU一句话技巧--Linux入门.txt
05-25
### Ubuntu一句话技巧——Linux入门知识点解析 #### 一、包管理与系统更新 - **查询已安装包的信息:** - `dpkg -L xxx`:列出包`xxx`的所有文件。 - `apt-cache search 式`:搜索包含关键词“式”的软件包。 -...
Linux系统下Tomcat使用80端口的方法
09-14
总结,通过iptables端口转发,可以在不改变Tomcat默认端口的情况下,让用户通过80端口访问Tomcat服务。这种方式既满足了用户习惯,又避免了直接以root权限运行Tomcat带来的安全风险。在实际应用中,应结合系统环境和...
iptables学习笔端口转发之“外网访问内网”
李迟的专栏
09-25 1万+
考虑一种网络拓扑应用情景,一个内部局域网中有多台服务器提供不同的服务,如web服务、FTP服务、ssh、telnet等,通过网关或防火墙连接外部网络,如果外部网络上的主机需要访问这些服务器,则需要在网关上实现转发
iptables——实战NAT(端口转发
donghaixiaolongwang的博客
03-18 2万+
1、NAT(端口转发)是什么 数据包都是有原地址和目标地址的,NAT就是要对数据包的原地址或者 目标地址(也可以修改端口的)进行修改的技术。为什么我们要修改ip地址呢?是这样的互联网中只能传送公网地址的数据包,私有地址的数据包是无法传送的。这样你想下,你每天在wifi环境下看视频浏览网站的时候你的ip是什么(私有地址,你手机、pad、电脑发出来的所有数据包原地址都是私有地址。怎么在互联网上传送)...
iptables 设置端口转发/映射
热门推荐
蒋亮亮的博客
01-11 3万+
iptables 设置端口转发/映射 网络拓扑 服务器A有两个网卡 内网ip:192.168.1.3 外网ip:10.138.108.103 本地回环:127.0.0.1 服务器B有网卡,8001提供服务 内网ip:192.168.1.1 目的 使用户通过外网10.138.108.103:8001访问内网服务器192.168.1.1:8001
【计算机网络-第四章】网络层IP地址与硬件地址的区别
Ddds的博客
11-03 2158
1.网络层向上提供的服务有哪两种?试比较其优缺点。 对比的方面 虚电路服务 数据报服务 思路 可靠的通信应当由网络来保证 可靠通信应当由用户主机来保证 连接的建立 必须有 不需要 终点地址 仅在连接建立阶段使用,每个分组使用短的虚电路 每个分组都有终点的完整地址
Ubuntu20.04服务器开启路由转发让局域网内其他电脑通过该服务器连接外网(适用于DOCKER集群模拟虚拟机)
qq_52560624的博客
11-12 1372
路由转发技术适用于设置某服务器为路由,从而让局域网内的电脑可以访问其他外网
ubuntu iptables开机自启动
fanshuaifang的博客
06-13 2565
iptables路由转发
Ubuntu IP 转发实现网络共享
mengjiaoduan的博客
07-18 1136
http://blog.csdn.net/li_hai/article/details/6639118 http://www.cnblogs.com/linux-ccmj/p/4703021.html http://www.codeweblog.com/ubuntu-iptables-nat-数据包转发/
iptables命令
悠悠余香
01-16 7719
常用命令 显示filter表中的INPUT链的所有规则 sudo iptables -t filter -L INPUT -t filter可以去掉 显示filter表中的所有规则链 sudo iptables -L 删除filter表中所有的规则 sudo iptables -F 删除filter表中用户定义的规则链 sudo iptables -X
ubuntu iptables 将接收到的数据转发至指定ip 端口
06-07
要将收到的数据转发到指定的 IP 地址和端口,请按照以下步骤进行操作: 1. 打开终端(Terminal)。 2. 输入以下命令以启用内核转发: ``` sudo sysctl -w net.ipv4.ip_forward=1 ``` 3. 输入以下命令以配置 iptables 规则: ``` sudo iptables -t nat -A PREROUTING -p tcp --dport [源端口] -j DNAT --to-destination [目标IP]:[目标端口] sudo iptables -t nat -A POSTROUTING -j MASQUERADE ``` 将上述命令中的 `[源端口]` 替换为客户端发送请求的源端口,将 `[目标IP]` 替换为您想要将数据转发到的 IP 地址,将 `[目标端口]` 替换为目标端口。 4. 如果您希望 iptables 规则在系统重启后依然存在,请输入以下命令: ``` sudo sh -c "iptables-save > /etc/iptables.rules" ``` 5. 最后,重启 iptables 服务以使更改生效: ``` sudo service iptables restart ``` 现在,您已经成功地将收到的数据转发到了指定的 IP 地址和端口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值