Linux 中iptables转发外网成功转发本地失败的解决办法

最新推荐文章于 2022-05-27 11:40:59 发布
最新推荐文章于 2022-05-27 11:40:59 发布
阅读量1.2w 收藏 3
点赞数 1
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnhsh/article/details/95765624
版权

1、Nginx端口转发

因为nginx账号不能直接启动80端口,所以利用iptables做了80到8081端口的转发,这样外部应用可以直接访问80端口,然后通过iptables转发到真正的nginx服务的8081端口。

 

Iptables转发命令:

         iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081                  

 

 

2、外网能通,但是本地不通

外网的网页页面能打通,如下:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/1.html

--2016-11-22 12:43:01--  http://bright.test.com/PLATFORM_AUTH_Service/1.html

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 已连接。

已发出 HTTP 请求,正在等待回应... 200 OK

长度:39 [text/html]

正在保存至: “1.html”

 

100%[=====================================================================================================================================================>] 39          --.-K/s   in 0s     

 

2016-11-22 12:43:01 (4.13 MB/s) - 已保存 “1.html” [39/39])

 

[tomcat@dev_121_21 ~]$

 

 

 

本地的service服务器打不通:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

--2016-11-22 12:29:17--  http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 失败:拒绝连接。

[tomcat@dev_121_21 ~]$

 

问题在哪里呢?直接telnet端口80试试

# telnet域名的80端口不通

[tomcat@dev_121_21 ~]$ telnet bright.test.com 80

Trying 192.168.121.21...

telnet: connect to address 192.168.121.21: Connection refused

[tomcat@dev_121_21 ~]$

# telnet 域名所在ip地址的80端口,也不通

[tomcat@dev_121_21 ~]$ telnet 192.168.121.21 80

Trying 192.168.121.21...

telnet: connect to address 192.168.121.21: Connection refused

[tomcat@dev_121_21 ~]$

 

# 因为80只是iptables转发的端口,不是真正nginx服务的端口,nginx服务的8081端口是有效的,

[tomcat@dev_121_21 ~]$ telnet bright.test.com 8081

Trying 192.168.121.21...

Connected to bright.test.com.

Escape character is '^]'.

Connection closed by foreign host.

[tomcat@dev_121_21 ~]$

 

问题场景很明显了,就是本地本机telnet不通80端口,其它的外部过来的访问80端口都ok。

 

问题分析:
外网访问需要经过PREROUTING链,但是localhost以及192.168.121.21本机ip地址不经过该链,因此需要用OUTPUT。

 

 

3、设置OUTPUT

设置output限制:

#在本机telnet也可以做转发到本机端口,不过限制了ip地址为localhost的域名访问

[root@dev_121_21 ~]#iptables -t nat -A OUTPUT -d 192.168.121.21 -p tcp --dport 80 -j REDIRECT --to-ports 8081        

 

#不限制ip地址的访问

[root@dev_121_21 ~]#iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8081

 

PS:如果想外部内部都通过域名来走,而域名又绑定实际的ip地址的话,那么这里就需要采用第一种限制域名实际ip的方式来操作才能有效

 

# iptables永久生效,保存到系统配置中

[root@dev_121_21 ~]# service iptables save;

iptables:将防火墙规则保存到 /etc/sysconfig/iptables:     [确定]

[root@dev_121_21 ~]#      chkconfig --level 2345 iptables on;

[root@dev_121_21 ~]#      chkconfig --add iptables;

[root@dev_121_21 ~]# service iptables restart

iptables:清除防火墙规则:                                 [确定]

iptables:将链设置为政策 ACCEPT:nat                       [确定]

iptables:正在卸载模块:                                   [确定]

iptables:应用防火墙规则:                                 [确定]

[root@dev_121_21 ~]#

 

 

 

4、问题解决本地能通

 

再试下,本地就可以访问本地的service接口服务了:

[tomcat@dev_121_21 ~]$ wget http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

--2016-11-22 12:51:14--  http://bright.test.com/PLATFORM_AUTH_Service/remoting/AuthenticationService

正在解析主机 bright.test.com... 192.168.121.21

正在连接 bright.test.com|192.168.121.21|:80... 已连接。

已发出 HTTP 请求,正在等待回应... 405 Method Not Allowed

2016-11-22 12:51:14 错误 405:Method Not Allowed。

 

[tomcat@dev_121_21 ~]$

 

 

参考文章:http://blog.csdn.net/zzhongcy/article/details/42738285

林震南
关注
专栏目录
Linux通过iptables实现转发
czfphper的博客
11-06 651
现在准备了3台局域网的机子。 A:192.168.3.138 B:192.168.3.135 C:192.168.3.167 B机子作为转机子。 现在B机子上设置路由iptables. 第一步:修改vim /etc/sysctl.conf 把net.ipv4.ip_forward改为1 第二步: 定义iptables规则: iptables -t nat -A PREROUT
centos7 iptables 端口转发 保存_教你如何保存和恢复iptables规则
weixin_39625429的博客
11-29 1469
当前,不同的内核模块和程序用于不同的协议。 iptables适用于IPv4,ip6tables适用于IPv6,arptables适用于ARP,而ebtables适用于以太网帧。Linux的许多网络参数都是使用iptables配置的,例如,转发数据包,端口转发,网络流量的任何权限或限制,构建NAT等。但是iptables只能记住配置,直到重新启动,因此出现了如何保存的问题。 并还原规则,而无需手动...
linux转发不工作,使用iptables通过Linux机器转发RDP:不工作
weixin_42516967的博客
05-15 318
我有一台Linux机器和一台实现NAT的路由器后面的Windows机器(该图可能有点矫枉过正,但是是fun to make):我将路由器上的RDP端口(3389)转发Linux机器,因为我想审核RDP连接.为了让Linux机器转发RDP流量,我写了这些iptables规则:iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to...
关于Linux下端口转发规则失效问题
moxiaomomo的专栏
11-14 5226
机器重启后,发现已有iptables的端口转发规则都已经失效,通过iptables -t nat -L查看规则都是存在的,但就是无法进行转发。再检查ip_forward功能,发现被还原为0了: #cat /proc/sys/net/ipv4/ip_forward 0 可判定是重启之前的转发设置没有持久化,而linux默认是关闭这项功能的,因此重新进行了永久生效的配置: echo 1 > /...
iptables不生效解决办法
weixin_33832340的博客
06-17 3626
修改完iptables之后,如果不生效,需要修改一下这个参数   echo 1 > /proc/sys/net/ipv4/ip_forward   使iptables转发开启生效,如果设置为0,则不转发         另附三个自己的小站,很不错,请支持支持,谢谢~ http://www.yiqidache.com    搭车户外装备助手,户外装备导购及咨询发布 http:/...
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)
p15097962069的博客
09-28 306
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)
Linux防火墙iptables(二)之SNAT和DNAT
m0_56107775的博客
05-27 574
目录一、二、三、 一、 二、 三、
linux 防火墙管理工具-- iptables基础知识
wdwangye的博客
05-01 1173
iptables 定义:iptables并不是只防火墙,而是一种客户端工具。用户通过这个客户端(iptables)将用户的安全设定执行到对应的“安全框架”。这个安全框架才是真正的防火墙。框架名字叫netfilter。 就是通过iptables来操作netfilter。 规则(Rules) 规则就是网络管理员预定义的条件。规则一般的定义为“如果数据报头符合这样的条件,就这样处理这个数据包“”...
Linux主机防火墙构建iptables的使用
weixin_43834422的博客
09-14 1070
2.1.1.选题说明 本课设主要使用 Linuxiptables 软件完成两类主机防火墙的设计和实现工作,包括了iptables包过滤,iptables状态检测,iptables NAT转换。 2.1.2系统功能 (1) 使用 iptables 实现主机路由包过滤,实现对协议、服务端口和网络接口入、出方向的可控。 (2) 使用 iptables 实现对新建的网络会话进行状态检测,对已建的网络会话进行状态检测,设置默认策略为 DROP,添加规则开放 FTP 服务和 WWW服务,并允许远程用户上传文件至
Linux iptables防火墙实验
qq_45070118的博客
06-17 8513
实验要求 1. 利用Linux自带的iptables配置防火墙。完成如下配置: 要求:(1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP服务器允许内部用户通过防火墙访问外部HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加,作为加分项。 iptables防火墙简介 在linux上设置防火墙规则时,一定要先用...
【原创】Linux实现路由转发功能开发总结
池上好风---码农改变世界
05-22 1万+
【原创】Linux实现路由转发功能开发总结关键词:linux防火墙,iptables Author: chad Mail: linczone@163.com 本文可以自由转载,但转载请务必注明出处以及本声明信息。一、准备知识需要用到的知识有: (1)路由工作原理,route命令. (2)linux网络管理命令,ifconfig,iptables (3)linux防火墙及内核配置,NAT(
Linux笔记-解决iptables配置后,本机无法访问本机,本机无法访问其他主机问题
IT1995的博客
03-28 2771
解决两个问题: ①本机无法访问本机。 ②本机无法访问其他主机。 原理:一般iptables配置的是eth设备,而本机用的是lo设备,所以lo设备也要操作。 解决本机无法访问本机: iptables -I INPUT -i lo -j ACCEPT 测试下拿不到百度的数据: [root@bogon ~]# curl -I http://www.baidu.com ^C [root@bogon ~]# 解决本机无法访问其他主机: iptables -I INPUT -m state
CentOS 6.9下的iptables在本机用DNAT转发指定IP到内网IP无效的问题解决(127.0.0.1)...
angou6476的博客
04-28 682
比如: iptables -t nat -A OUTPUT -p tcp -d 192.168.1.0/24 --dport 2222 -j DNAT --to-destination 127.0.0.1:2222或者iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 4242 -j DNAT --to-destination...
linux 端口转发 iptables,Linux下使用iptables端口转发所遇到的各种问题及解决方法(终于被我收集全了QAQ)...
weixin_39926103的博客
04-30 1086
前言Linux下利用iptables进行端口转发还是挺容易的,就是关键的问题有几个,只要有一个没解决就很烦….刚刚在对这个问题进行共第4xx次的GG后,终于有了最后一个问题的解决方法….(很烦,真的很烦,神烦狗的烦,令人烦躁不安)iptables端口转发方法以下几个步骤没有具体的顺序,如果按照网上教程后还是不行,那么缺哪个补哪个:端口转发主要命令:其remote_server指的是远端机器,th...
iptables设置端口转发
热门推荐
司刚军的个人专栏
12-19 2万+
将本地接口IP 61.144.14.72 的3389端口 转发到 116.6.73.229的3389       (主要访问到61.144.14.72的3389端口,就会跳转到116.6.73.229的3389) 【步骤】 1、 首先应该的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默认是0    这样允许iptalbes FO
iptables无效 telnet Connection refused No route to host
小彩电专栏
07-25 1462
设置了iptables 能用iptables -L查看已经起效果 但telnet还是不通 ----- iptables只是防火墙端口开启 但端口需要有对应的服务 telnet才通 ----- 怎么判断iptables的起效了呢? ----- 用window下cmd时的telnet是区别不出来的     C:\Users\admin>telnet 220.181.111....
解决iptables DNAT不生效
CHEndorid的博客
07-05 9967
DNAT不生效,如果命令都是正确的,那么问题就出在操作不完整,只了DNAT配置的一部分。完整步骤如下 0、场景介绍 192.168.1.81:ip81服务器上,启了一个nginx,端口80 192.168.1.57:ip57服务器,在这台上添加防火墙规则,让其他服务器能够通过ip57的800端口访问ip81的web服务 192.168.1.222:ip222服务器为同一内网的验证服务器,验证DNAT是否配置成功 1、打开内核转发功能 echo "net.ipv4.ip_forward=1"
网络-iptables-telnet: connect to address 127.0.0.1: Connection refused-bug总结
橙汁糖的博客
12-05 360
我错误的原因是防火墙的端口号问题 解决办法: 查看目前防火墙端口号 cat /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT 颜色更深的23就是目前防火墙的端口号,如果要指定某端口号,进入编辑模式, vi /etc/sysconfig/iptables 把23更改为个人的...
linux iptables端口转发
最新发布
08-23
Linux系统,可以使用iptables命令实现端口转发iptables是用于实现防火墙、数据转发等功能的工具。iptables具有不同的表(tables),每个表都包含多个链(chains),每条链都包含一个或多个规则(rules)。 要在Linux系统进行端口转发,可以使用以下命令: 1. 端口转发到本地其他端口: iptables -t nat -A PREROUTING -p tcp --dport [源端口号] -j REDIRECT --to-port [目标端口号] 例如,要将本机的2222端口转发到本机的22端口,可以使用以下命令: iptables -t nat -A PREROUTING -p tcp --dport 2222 -j REDIRECT --to-port 22 2. 端口转发到其他机器: iptables -t nat -A PREROUTING -d [本机IP地址] -p tcp --dport [源端口号] -j DNAT --to-destination [目标IP地址]:[目标端口号] iptables -t nat -A POSTROUTING -d [目标IP地址] -p tcp --dport [目标端口号] -j SNAT --to [本机IP地址] 例如,要将本机的192.168.172.130的8000端口转发到192.168.172.131的80端口,可以使用以下命令: iptables -t nat -A PREROUTING -d 192.168.172.130 -p tcp --dport 8000 -j DNAT --to-destination 192.168.172.131:80 iptables -t nat -A POSTROUTING -d 192.168.172.131 -p tcp --dport 80 -j SNAT --to 192.168.172.130 注意,以上命令只是示例,实际使用时需要根据实际情况进行相应的修改。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Linux端口转发的几种常用方法](https://blog.csdn.net/u010680373/article/details/124779749)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [iptables学习笔记:端口转发之“外网访问内网”](https://blog.csdn.net/subfate/article/details/52659446)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值