linux nat 端口转发,(亲测通过)Centos7服务器的端口映射/nat

最新推荐文章于 2023-10-08 17:13:31 发布
最新推荐文章于 2023-10-08 17:13:31 发布
阅读量1.7k 收藏 5
点赞数 2
文章标签: linux nat 端口转发

一个合作单位给我创建了十几台虚拟服务器做支撑。但是只给负载均衡绑定了公网IP。

由于这个支撑的服务需要测试和调优,经常要往服务器上传class或者修改数据库。

为了方便操作,我打算在负载均衡服务器上做端口映射,把不同的服务器映射在端口上。

这样团队成员只要链接唯一公网IP的不同端口就可以在对应的不同服务器上进行操作了。

首先选定的工具是iptables,也没有什么特别理由,就是因为以前用过类似的功能。

首先肯定是执行:echo 1 >/proc/sys/net/ipv4/ip_forward 开启linux的转发功能。

然后就在网上查,别人是怎么实现的。看到有朋友是这样写的:

iptables -t nat -A PREROUTING -d 【公网地址】 -p tcp -m tcp --dport 【公网端口】 -j DNAT --to-destination 【内网IP】:【内网端口】

我尝试了几次,没有实现转发功能,原因不明。类似的方式找了很多,都没有成功。

最后只好找合作单位的网管问问,网管兄弟听了我描述的情况后,一句话就说清楚了。

原来他们虚拟的服务器全都没有绑定公网IP的网卡,所有通过公网的访问全都是由防火墙映射到绑定内网IP的网卡上的。我不了解IDC搭建,所以在这个过程中耽误了很多时间。

这下就明白了,填写公网IP肯定在转发时无法识别。赶紧改一下,不再指定公网IP了。

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 【公网端口】 -j DNAT --to-destination 【内网IP】

这样执行后仍然没有实现映射。继续在网上查,直到看了这篇文章:http://blog.csdn.net/yu_xiang/article/details/9212543

原来要用数据包发起方的IP地址(就是发起连接用户的IP)当作SNAT来使用,这样目标【内网IP】服务器回包的时候,才会路由到数据包发起方的IP上。

所以要先执行: iptables -t nat -A POSTROUTING -j MASQUERADE 设置SNAT(其中使用MASQUERADE是因为在我的这个需求中数据包发起方的IP是不确定的)。

然后再执行: iptables -t nat -A PREROUTING -p tcp -m tcp --dport 【公网端口】 -j DNAT --to-destination 【内网IP】 指定端口镜像策略。

本以为这样就ok了,试了一下没想到还是不能实现转发。继续查原因,

经过漫长的查找,终于发现原来iptables安装后,默认在INPUT表和FORWARD表中拒绝所有其他不符合配置文件中规则的数据包。

知道原因就好办了,打开/etc/sysconfig/iptables 在最下面果然有这么两句:

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

赶紧把 -A FORWARD -j REJECT --reject-with icmp-host-prohibited 注释掉,然后重启iptables

注意保留:-A INPUT -j REJECT --reject-with icmp-host-prohibited,否则会导致防火墙拦截功能失效!

再执行上面几项配置:

echo 1 >/proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -j MASQUERADE

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8001 -j DNAT --to-destination 172.31.2.51:22

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8002 -j DNAT --to-destination 172.31.2.52:22

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8003 -j DNAT --to-destination 172.31.2.55:8161

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8004 -j DNAT --to-destination 172.31.2.56:8161

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8005 -j DNAT --to-destination 172.31.2.57:8161

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8006 -j DNAT --to-destination 172.31.2.58:22

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8007 -j DNAT --to-destination 172.31.2.53:22

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8008 -j DNAT --to-destination 172.31.2.59:1521

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8009 -j DNAT --to-destination 172.31.2.60:1521

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8010 -j DNAT --to-destination 172.31.2.61:22

大功告成。

如果想要把配置保存起来,可以执行 service iptables save

这样就不会每次重启 iptables 的时候配置就失效了。

这个一定要注意啊,如果不保存,重启iptables之后配置就失效了,要重新进行配置。

昨天就吃了这个亏,生效后重新修改了配置文件,重启后所有配置都失效了。我还以为是iptables出了问题,结果浪费了很多时间。

最后再说两句题外话,工程师的知识面广一些,真的很有好处,如果我懂点IDC搭建的知识,就不会在前面浪费那么多时间了。

所以说,工程师的肚是杂货铺,这话一点错都没有。

附件是大黄蜂使用的iptables网络转发配置文件。

akasec_1337
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【原创】Linux实现路由转发功能开发总结
池上好风---码农改变世界
05-22 1万+
【原创】Linux实现路由转发功能开发总结关键词:linux防火墙,iptables Author: chad Mail: linczone@163.com 本文可以自由转载,但转载请务必注明出处以及本声明信息。一、准备知识需要用到的知识有: (1)路由工作原理,route命令. (2)linux网络管理命令,ifconfig,iptables (3)linux防火墙及内核配置,NAT(
使用Linux中的iptables完成NAT转发服务
最新发布
m0_52614540的博客
05-08 1779
如果使用vi /etc/sysconfig/iptables命令查看iptables配置文件,就会发现多了一条nat表的snat转发规则。找到 net.ipv4.ip_forward = 1 这一条,确保后面的值为1就行,如果没有这一条,手动加进去。第二步:设置iptables 的NAT转发规则,在有公网的服务器上(别忘修改为自己对应转发的IP地址)保存退出,然后使用 sysctl -p 命令使上面的修改生效。第三步:重启iptables使规则生效。#查看与编辑iptables文件信息。
linux实现nat转发和内部端口映射
JackLiu16的博客
01-25 3471
linux实现nat转发和内部端口映射 双网卡: 路由机 eth0:114.114.114.114(公网ip)  eth1:192.168.1.1(内网ip) pc1 eth0:192.168.1.2(内网ip)    eth1(拨号ip) pc2 eth0:192.168.1.3(内网ip)    eth1(拨号ip)   1.配置路由机网卡信息 vim /etc/sys
基于wireguard与NAT实现windows10代理服务器
WongSSH的博客
06-08 9870
WireGuard是一个免费的网络通信隧道,它可以让您的私有网络和公共网络之间通过一个隧道,让您的私有网络不会被窃听。一般情况下,我们选择使用Linux服务器自带的iptables实现路由转发,实现私有网络和公共网络之间的通信。但是,在Windows上,尤其是个人Windows计算机上,我们缺乏有效的工具实现路由转发,因此我们很难实现私有网络和公共网络之间的通信。搭建出的WireGuard隧道毫无意义。此教程主要讲解如何使用Windows的NAT实现路由转发,并进一步实现私有网络和公共网络之间的通信。...
linux如何实现端口复用nat,NAT地址转换和端口复用PAT
weixin_34770855的博客
05-01 1780
什么是端口复用动态地址转换(PAT) 介绍配置实例端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所...
钓鱼网站,CentOS7 充当网关实现NAT转换访问外网,搭建 DHCP、DNS服务器,DNS劫持
weixin_51559599的博客
10-08 1215
​ 钓鱼网站是一种用于欺骗用户的恶意网站。它们被设计成与合法的网站非常相似,以便诱使用户提供个人敏感信息,如用户名、密码、信用卡信息等。
Linux 负载均衡介绍之LVS工作模式-NAT转发模式
yyf0430的博客
12-06 429
Linux 负载均衡介绍之LVS工作模式-NAT转发模式
在CentOS 7 上为docker配置端口转发以兼容firewall的解决方法
01-09
在CentOS 7上当我们以类似下列命令将主机端口与容器端口映射时可能遇到无法访问容器服务的问题 docker run --name web_a -p 192.168.1.250:803:80 -d web_a:beta1.0.0 . 由于docker在执行此命令时,是向iptables...
Linux Centos7系统端口占用问题的解决方法
09-15
Linux CentOS7系统中,有时会遇到端口占用的问题,这可能会导致服务无法启动或通信异常。本篇文章将详细介绍如何解决此类问题,以8080端口为例进行阐述。 首先,我们需要确认哪个进程占用了特定端口。在本案例中...
CentOS7配置NAT模式网络详细步骤
09-15
CentOS7配置NAT模式网络详细步骤,学习
CentOS 7下用firewall-cmd控制端口与端口转发详解
09-15
主要给大家介绍了在CentOS 7下用firewall-cmd控制端口与端口转发的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下来来一起看看吧。
CentOS 7如何快速开放端口
09-15
主要为大家详细介绍了CentOS 7如何快速开放端口,如何使用firewalld开放Linux端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
CentOS7 Firewall NAT端口映射
ad116688的博客
05-28 1336
本节介绍用CentOS7的Firewalll来做NAT以及端口映射实验拓扑:因为我的环境里CentOS7上有KVM虚拟机需要共享网卡上网,所以我把网卡都添加到了桥里面,当然这里也可以不用桥,直接用物理网口;用nmcli创建桥,并添加网口到桥;然后给桥设置IP地址:先创建两个桥"br-ex"和"br-in"[root@localhost ~]# nmcli con add type bri...
centos7 firewall-cmd主机之间端口转发
友人A的博客
04-26 3312
可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放http服务就是开放了80端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。yum安装nginx。
网络地址转换NAT(详细)
qq_983030560的博客
12-27 3652
NAT(网络地址转换)的详细讲解
linux配置端口地址转换,linux 网络地址转换NAT
weixin_28684825的博客
05-01 584
网络地址转换NATNAT的作用:增加IPv4的地址数量,解决私网地址不能上网的问题。NAT的概念:通过将内部网络的私网IP地址翻译成全球唯一的公网IP地址。原理原理:就是将内部本地转换为内部全局的地址,即将私网地址转换为公网地址去上网。NAT术语:内部本地(局部) 在内部网络中分配给主机使用的私有ip地址内部全局 该地址通常是从全球统一可寻址的地址空间中分配的,一般由互联网服务同上(I...
Linux NAT转发设定
02-22 5833
1.开启IP转发功能 1.vim /etc/sysctl.conf 2. net.ipv4.ip_forward = 1 2.使用iptables的NAT表做转发设定 外网接口IP为静态设定的情况: iptables -t nat -A POSTROUTING -s 192.168.188.0/24 -o eth0 -j SNAT --to-source 192.168.2.46 外
NAT模式 centos宿主机怎么配置把端口转发到虚拟机?
04-25
您可以使用以下命令来将宿主机端口转发到虚拟机中: 1. 首先确认虚拟机使用的网络适配器是 NAT 模式,您可以使用 `ifconfig` 命令来查看。 2. 然后在宿主机中打开终端,使用以下命令进行端口转发: ``` sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 宿主机端口号 -j DNAT --to-destination 虚拟机IP:虚拟机端口号 ``` 其中,`eth0` 是宿主机使用的网络适配器名称,您可以使用 `ifconfig` 命令来获取;`宿主机端口号` 是您要转发的端口号;`虚拟机IP` 是虚拟机中使用的 IP 地址,您可以在虚拟机内使用 `ifconfig` 命令来获取;`虚拟机端口号` 是您希望数据在虚拟机内被发送到的端口号。 3. 最后保存 iptables 配置,并验证端口转发是否成功: ``` sudo iptables-save > /etc/sysconfig/iptables sudo service iptables restart # 验证端口转发是否成功 telnet 宿主机IP 宿主机端口号 ``` 其中,`宿主机IP` 是宿主机的 IP 地址,`宿主机端口号` 是您在第二步中要转发的端口号。如果成功,您应该能够在终端中看到类似如下的输出: ``` Trying 宿主机IP... Connected to 宿主机IP. Escape character is '^]'. ``` 希望这能够回答您的问题!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值