Ubuntu环境下的iptables的端口转发配置实例

最新推荐文章于 2025-03-01 16:39:00 发布
最新推荐文章于 2025-03-01 16:39:00 发布
阅读量3.3w 收藏 14
点赞数 5
分类专栏: 4. Linux/Unix专题 文章标签: ubuntu iptables 端口转发 端口映射 开机启动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gobitan/article/details/50696641
版权
Ubuntu环境下的iptables的端口转发配置实例
作者:雨水, 日期:2016-2-19,CSDN博客: http://blog.csdn.net/gobitan

打开转发开关
要让iptables的端口转发生效,首先需要打开转发开关
方法一:临时打开,重启后失效
$sudo su
#echo 1 >/proc/sys/net/ipv4/ip_forward

方法二:永久打开,重启依然有效
编辑/etc/sysctl.conf文件,将net.ipv4.ip_forward=1前面的#注释去掉,保存文件,然后执行sudo sysctl -p使其生效

典型使用场景举例
场景一:目标机的22端口外网没有打开,通过本地端口转发实现通过其他端口访问ssh的22端口
案例:125.69.67.213机器的22端口未对外开放,但开放了3000~4000之间的端口,因此通过3000端口转发到22实现ssh登录
sudo iptables -t nat -A PREROUTING -p tcp -i eth0 -d 125.69.67.213 --dport 3000 -j DNAT --to 125.69.67.213:22
这个属于本机端A端口转发到本机的B端口

场景二:将内网的22端口映射到外网的一个端口,实现SSH直接登录,不用跳转
案例:192.168.2.61为外网机,192.168.2.70为内网机,如果不做映射,需要先登录到61,再登录到70.做如下映射之后,可直接通过外网机的3003登录到内网机
sudo iptables -t nat -A PREROUTING -d 192.168.2.61 -p tcp --dport 3003 -j DNAT --to-destination 192.168.2.70:22
sudo iptables -t nat -A POSTROUTING -d 192.168.2.70 -p tcp --dport 22 -j SNAT --to 192.168.2.61
注:(1) 本例中也可以通过SecureCRT的自动登录实现。

场景三:在外网直接访问内网的MySQL数据库
案例:很多时候数据库在内网机,外网不能直接访问,但做运维的时候可能需要通过图形界面工具直接连上去。做端口映射就可以解决这个问题。例如:将外网机192.168.2.61的3001端口转发到内网机192.168.2.70的MySQL的3306端口
sudo iptables -t nat -A PREROUTING -d 192.168.2.61 -p tcp --dport 3001 -j DNAT --to-destination 192.168.2.70:3306
sudo iptables -t nat -A POSTROUTING -d 192.168.2.70 -p tcp --dport 3306 -j SNAT --to 192.168.2.61

iptables其他常见操作
查看当前iptables的所有规则
sudo iptables -L
或者
sudo iptables-save

iptables规则保存到文件
sudo sh -c "iptables-save > /etc/iptables.rules"

从文件恢复iptables的规则
sudo iptables-restore /etc/iptables.rules

开机启动加载iptables规则
注:配置的规则系统默认重启后就失效,因此做开机启动时加载iptables的配置也有必要。
在/etc/network/interfaces的末尾添加如下一行: 
pre-up iptables-restore < /etc/iptables.rules

如果想在关机的时候自动保存修改过的iptables规则,可添加如下行
post-down iptables-save > /etc/iptables.up.rules

参考资料:



Ubuntu 14.04 端口映射
12-10 8477
Ubuntu 14.04 端口映射Ubuntu 1404 端口映射 背景 方法 非永久 永久背景一个集群,只有一个公网IP,外网的客户机需要访问内网某台机器运行的服务,这时需要通过端口转发来实现。假设配置Machine1: 外网IP:113.30.150.75 网卡:em0 ,内网IP:192.168.0.1 网卡:em1 Machine6: 内网IP:192.168.0.6需求通过访
CentOS7 运维 - iptables防火墙 | 规则实例 | SNAT | DNAT | 超详细
serendipity_cat的博客
03-17 2225
CentOS7运维 - iptables防火墙一、概述二、规则表raw表mangle表nat表filter表三、规则链inputoutputforwardpreroutingpostrouting规则表优先顺序规则链之间的匹配顺序四、iptables的安装iptables 命令行配置方法实例►添加新的规则►查看规则列表►删除第一条规则[从下网上删]►在第二行增加一条规则►设置默认策略①清空规则②规则的匹配③隐含匹配④TCP标记匹配⑤ICMP类型匹配⑥显示匹配⑦IP范围匹配⑧MAC地址匹配⑨状态匹配 一、概述
SSH 端口映射(一)
weixin_30815427的博客
07-08 731
转载:http://blog.csdn.net/a351945755/article/details/21785647,http://blog.csdn.net/gaoming655/article/details/7231517,http://blog.aizhet.com/NET/12044.html, SSH 端口映射 工作中经常会遇到一些服务器访问受限的问题:某些服务器只有私网ip地址...
ubuntu防火墙iptables
刘皇叔说Java的博客
03-01 867
通过这种方式,你可以确保在多台机器之间的服务通信不受防火墙的影响,同时保证服务器的安全性。作用阶段: 数据包经过路由决策后,目标不是本地系统(即数据包需要转发到其他主机)。作用阶段: 数据包经过路由决策后,目标是本地系统(即数据包是发给本机的)。用途: 通常用于 DNAT(目标地址转换)或修改数据包的目标地址。用途: 通常用于 SNAT(源地址转换)或修改数据包的源地址。适用表: filter 表、nat 表、mangle 表。作用阶段: 数据包进入网络接口后,但在路由决策之前。
ubuntu设置NAT网络的端口映射
u010584870的博客
08-24 2392
比如把Windows的22端口映射Ubuntu的22端口,当开发板通过端口22(这是SSH端口)访问Windows的IP时,Windows就知道:哦,这22端口数据不是发给我的,是要我转发Ubuntu的。在NAT里,外面的设备比如开发板要访问Ubuntu,也只能通过Windows代劳:开发板是看不到Ubuntu的,开发板是ping不通Ubuntu的。以前VMware使用桥接网络时,Windows和Ubuntu是同等的地位,要保证Windows、Ubuntu、开发板三者互通,设置比较复杂。
Ubuntu端口映射
大笨猫
11-29 2014
由于后台管理以及域名等问题(在域名后面一直带一个端口号终归不好看对不对…)所以做一下到80端口的映射1. 安装 iptables-persistentapt-get install iptables-persistent2.添加 80 端口跳转到 2368端口(Ghost) 规则iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT -
ubuntu端口映射
Hali_Botebie的博客
05-07 8111
echo 1 >/proc/sys/net/ipv4/ip_forward sudo iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p tcp --dport 8000 -j DNAT --to-destination xxx.x.x.x:80 可以使用命令:iptables -t nat --list检查nat列表信息: Nat列...
强化服务器安全:Iptables端口转发与NAT配置
# 1. 引言 ## 1.1 服务器安全的重要性 在如今数字化的世界中,服务器的安全性变得尤为重要。无论是个人用户还是企业组织,都需要保护服务器免受黑客和...在本文中,我们将重点介绍Iptables端口转发和NAT功能,并
iptables防火墙配置实例演示与综合案例
# 1. 引言 ## 1.1 什么是iptables防火墙 ...- 构建安全网络环境:通过合理配置iptables规则,可以建立一个相对安全的网络环境,保护服务器不受恶意攻击。 以上是引言部分的内容,接下来,我将输出文章
Ubuntu系统安全守护:一步到位的iptables防火墙配置
通过灵活配置iptables规则和链,用户可以精确控制进出网络的数据流,为网络环境提供定制化的安全保障。 ## 1.1 iptables的角色与重要性 iptables对于维护网络设备安全、防御外部攻击、控制网络流量等方面起着不可...
Ubuntu网络安全指南:容器化环境下的策略与配置
[Ubuntu网络安全指南:容器化环境下的策略与配置](https://img-blog.csdnimg.cn/bbecaf7bb1dd4f19981226bea224e5a8.png) # 1. Ubuntu网络安全概述 网络安全在当今的IT环境中扮演着至关重要的角色。特别是在使用...
记一次ubuntu利用iptables端口转发的操作
01-09
同事从海外远程连接国内某云上的一台机器3389端口,发现因为运营商路由原因非常慢,找运营商修改路由又非常麻烦。于是曲线救国,找了国内一台到两边访问都较快的机器做为跳板,做一个端口转发,以加速云机器3389端口的访问。这里记录下思路和操作。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录网络拓扑图iptables & ufwufw命令iptables命令实际操作一些坑 网络拓扑图 如下,图中ip均为虚构。 主要目的就是通过配置跳板机的防火墙转发规则,使得访问1.1.1.1:21521的流量自动转发到2.2.2
UPNP linux 端口映射工具
09-07
UPNP linux 端口映射工具 非常实用的upnp端口映射工具
ubuntu双网卡设置内外网上网问题,实现路由转发
11-12
ubuntu双网卡设置内外网上网问题,实现路由转发
ubuntu20.04有公网ip如何做端口映射
Haku_yyf的博客
11-13 1031
然后打开浏览器,输入192.168.2.1自己路由地址,进入路由器的控制面板(如果不知道用户名和密码,可以在自己路由设备背面可见默认帐号密码)。然后在外网访问时,通过路由分配的公网IP进行访问即可。对于路由wan口是公网IP地址的,路由映射是个比较好用的方法。点击转发规则,虚拟服务器,添加新条目,添加一个端口映射规则。确保状态为生效,此时,端口映射完成。
vmware下ubuntu虚拟机端口映射
bushuwei的博客
08-16 1738
当我们用windows办公时,会经常用到vmware构建linux虚拟机,而最常用的nat网络模式会导致我们主机ping不了虚拟机,更别说办公室其他电脑了。那么我们怎么解决呢?
[内网端口映射]内网端口映射ubuntu
抠脚强的博客
11-03 3031
理解: “你家在1个小区里B栋2410室,你朋友来找你,找到小区门口,不知道你住哪层哪号?就问守门的保安,保安很客气的告诉了他你家详细门牌,所以你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象比喻,”篇一 : 内网端口映射ubuntu 使用Ubuntuiptables有许多地方能进行运作,比如:内网端口映射1.系统环境内网两台服务器:A172.16.119.1
Ubuntu下Docker修改/添加端口映射
m0_49996105的博客
02-10 1050
Ubuntu下Docker修改/添加端口映射
Linux(ubuntu)如何用iptables实现端口映射
weixin_30824479的博客
08-15 196
首先,必须开启linux的数据转发功能,具体开启步骤如下: 1 vi /etc/sysctl.conf 2 将net.ipv4.ip_forward=0更改为net.ipv4.ip_forward=1 3 sysctl -p(这条命令是使数据转发功能生效) 现在就可以更改iptables了,使之实现nat映射功能: 例如:你要将外网访问本地IP...
ubuntu 监听端口
最新发布
03-08
### 如何在Ubuntu系统中监听端口 对于在Ubuntu系统上配置服务以监听特定端口,通常涉及几个方面的工作。如果要设置Docker容器内的Nginx服务器来监听低于1024的特权端口(例如HTTPS的标准端口443),则需要特别注意权限问题[^3]。 当希望应用程序监听任何端口时,在命令行工具`netcat`的帮助下可以简单测试端口监听功能: ```bash nc -lvp 8080 ``` 上述命令会让`netcat`监听本地机器上的8080端口。这里的选项 `-lv` 表示启用监听模式并显示详细信息;而 `p` 后跟指定的端口号表示程序应该绑定到该端口。 然而,对于小于1024的端口来说,默认情况下只有root用户才有权访问这些所谓的“特权”端口。因此,为了使非特权用户运行的服务能够监听此类低编号端口,有几种方法可供选择: - **更改启动参数**:某些应用允许通过配置文件调整其默认行为,从而可以在不改变进程身份的情况下让它们安全地绑定至较低端口。 - **使用iptables重定向流量**:可以通过防火墙规则将高编号端口接收到的数据包转发给目标低编号端口。这使得实际处理请求的应用无需直接占用敏感资源即可实现对外提供服务的目的。 - **提升执行权限**:临时赋予必要的最小化权限范围,比如利用Linux capabilities机制仅授予bind capability而不是完全切换成超级管理员账户操作。 最后一种情况适用于像Docker这样的环境,其中可能确实有必要作为root运行整个容器实例以便简化内部组件之间的交互过程。 #### 使用Python创建简单的HTTP服务器监听端口的例子 下面是一个非常基础的例子,展示了怎样用几行Python代码建立一个简易Web服务器,并让它监听自定义端口: ```python from http.server import SimpleHTTPRequestHandler, HTTPServer def run(server_class=HTTPServer, handler_class=SimpleHTTPRequestHandler, port=8080): server_address = ('', port) httpd = server_class(server_address, handler_class) print(f'Starting httpd server on {port}') httpd.serve_forever() if __name__ == "__main__": from sys import argv if len(argv) == 2: run(port=int(argv[1])) else: run() ``` 此脚本接受可选命令行参数用于设定不同的监听端口,默认会尝试打开8080端口。请注意,如果打算监听<1024的端口,则需确保有足够的权限去这样做,或者考虑采用前面提到的技术手段绕过这一限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gobitan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值