现实生活中,港口转发就像在一个大型公寓大楼里告诉送货司机该去哪里。通常情况下,该建筑群的正门是不对外开放的。但如果里面有人想要快递,他们可以告诉保安让司机进来,并指引他们到特定的公寓。
类似地,在计算机网络中,端口转发允许外部的人访问他们通常无法到达的专用网络中的服务。当你想让网络外的人使用 web 服务器,在你的游戏服务器上玩游戏,或者访问你设置的其他类型的服务时,这是很有用的。
Linux 操作系 使用一个名为 iptables 的工具来设置端口转发。Iptables 是一个程序,可以让你设置数据包如何通过你的计算机防火墙的规则,这有助于保持你的网络安全。这些规则根据它们的作用被分成不同的组。
在本教程中,我们将向您展示如何在 Linux 系统上使用 iptables 设置端口转发。
必备条件
- A Linux machine with root or sudo access.
- The iptables package should be installed.
Step 1: Install Iptables
首先,确保在 Linux 机器上安装了 iptables 包。
Debian / Ubuntu
sudo apt update
sudo apt install iptables
- CentOS / Fedora / RHEL
sudo dnf install iptables
Step 2: Check Existing Rules
在开始修改 iptables 规则之前,最好先查看一下当前的规则。
sudo iptables -L -v -n
-L 列出规则,-v 显示更详细的信息,-n 以数字格式显示 IP 地址和端口号。
Step 3: Enable IP Forwarding
为了允许在内核级别转发,我们需要启用 IP 转发。
编辑 /etc/sysctl.conf 配置文件
sudo nano /etc/sysctl.conf
添加或取消注释下面一行
net.ipv4.ip_forward=1
应用更改,执行如下命令,这将确保在启动时启用 IP 转发。
sudo sysctl -p
Step 4: Configure the Forwarding Rule
要将流量从一个端口转发到另一个端口,请使用以下命令
sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
将 8080 替换为系统接收流量的端口号,将 192.168.1.100 替换为希望转发流量的设备的 IP 地址,将 80 替换为目的设备的端口号。
Step 5: Masquerade the IP
最后,为了确保返回数据包的正确路由,您应该使用 MASQUERADE 目标,它将用传出网络接口的 IP 地址伪装传入数据包的 IP 地址。
sudo iptables -t nat -A POSTROUTING -j MASQUERADE
Step 6: Save the Changes
永久保存这些规则,以便在重新启动后保持它们。
在 Ubuntu / Debian 中,你可以使用iptables-persistent 包,使用以下命令安装它。
sudo apt install iptables-persistent
在安装过程中,它会询问您是否要保存现有的 iptables 规则,IPv4 和 IPv6 规则均选择“Yes”。
在 CentOS / Fedora / RHEL 系统中,可以直接保存。
sudo service iptables save
规则将保存到 /etc/sysconfig/iptables 配置文件中。
Step 7: Verify the Configuration
可以通过在其他设备上连接源端口来验证端口转发是否正常。您可以使用 nc、telnet 或 curl 之类的工具来验证这一点。
记住检查是否有任何现有防火墙规则或安全组可能阻止对源或目标端口的访问。
我的开源项目
- course-tencent-cloud(酷瓜云课堂 - gitee仓库)
- course-tencent-cloud(酷瓜云课堂 - github仓库)
