首页 > Linux安全防护 > iptables端口转发的一些事例

iptables端口转发的一些事例

2016年11月9日

iptables端口转发的一些事例
http://xmmok.blog.sohu.com/260275436.html
本机端口转发

转发8081到3306

iptables -t nat -A PREROUTING -p tcp –dport 8081 -j REDIRECT –to-ports 3306

转发所有端口

配置单网卡PPTP VPN的时候需要用到此条配置
转发所有tcp访问到外网ip

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE

端口转发跳板

单网卡通过 192.168.1.100:8081 访问 192.168.1.101:3306

iptables -t nat -A PREROUTING -d 192.168.1.100 -p tcp –dport 8081 -j DNAT –to-destination 192.168.1.101:3306
iptables -t nat -A POSTROUTING -d 192.168.1.101 -p tcp –dport 3306 -j SNAT –to 192.168.1.100
顺便说说SNAT, DNAT与MASQUERADE区别

SNAT: source nat 源网络地址转换
数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP
接收方就认为数据包的来源是被替换的那个IP的主机
在目标机连接外部时要用到这种转换, 例如上面192.168.1.101数据返回到外部访问

DNAT: destination nat 目标网络地址转换,
就是指数据包从网卡发送出去的时候,修改数据包中的目的IP
表现为如果你想访问A,可是因为网关做了DNAT,把所有访问A的数据包的目的IP全部修改为B,那么,你实际上访问的是B
通常用于外部机器访问内部服务器, 例如上面外部机器访问192.168.1.101:3306

MASQUERADE
是用发送数据的网卡上的IP来替换源IP, 是对SNAT的一种扩展
通常用于对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下

分类: Linux安全防护 标签:
本文的评论功能被关闭了.