場景
假如你在用 resin 調試一個 Web 程序,需要頻繁地重啟 resin。這個 Web 程序需要開在 80 端口上,而 Linux 限制 1024 以下的端口必須有 root 權限才能開啟。但是你又不愿意在調程序的時候總是開著一個 root 終端。在這種情況下,你可以把 resin 開在默認的 8080 端口上,然后使用 iptables 來實現和真的把服務開在 80 端口上一樣的效果。
方法
將與 80 端口的 TCP 連接轉接到本地的 8080 端口上。使用 DNAT (Destination Network Address Translation) 技術可以滿足這一要求。因為 iptables 在處理本地連接和遠程連接的方法不同,所以需要分開處理。下面假設本機的 IP 是 192.168.4.177。
遠程連接
遠程連接指的是由另外一臺機器連接到這臺機器上。這種連接的數據包在 iptables 會首先經過 PREROUTING 鏈,所以只需在 PREROUTING 鏈中作 DNAT。
# iptables -t nat -A PREROUTING -p tcp -i eth0 -d 192.168.4.177 --dport 80 -j DNAT --to 192.168.4.177:8080
本地連接
本地連接指的是在本機上,用 127.0.0.1 或者本機 IP 來訪問本機的端口。本地連接的數據包不會通過網卡,而是由內核處理后直接發給本地進程。這種數據包在 iptables 中只經過 OUTPUT 鏈,而不會經過 PREROUTING 鏈。所以需要在 OUTPUT 鏈中進行 DNAT。除了對 127.0.0.1 之外,對本機 IP (即 192.168.4.177) 的訪問也屬于本地連接。
# iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 80 -j DNAT --to 127.0.0.1:8080
# iptables -t nat -A OUTPUT -p tcp -d 192.168.4.177 --dport 80 -j DNAT --to 127.0.0.1:8080
注意事項
你也許需要通過以下命令打開 IP 轉發:
# echo 1 > /proc/sys/net/ipv4/ip_forward
在進行試驗時,如果要重新設置 iptables,需要首先清空 nat 表:
# iptables -F -t nat
實例操作
這里將本地接口IP 61.144.a.b 的3389端口 轉發到 116.6.c.d的3389 (主要訪問到61.144.a.b的3389端口,就會跳轉到116.6.c.d的3389)
1、 首先應該做的是/etc/sysctl.conf配置文件的 net.ipv4.ip_forward = 1 默認是0 這樣允許iptalbes FORWARD。
2、 service iptables stop 關閉防火墻
3、 重新配置規則
iptables -t nat -A PREROUTING --dst 61.144.a.b -p tcp --dport 3389 -j DNAT --to-destination 116.
6.c.d:3389
iptables -t nat -A POSTROUTING --dst 116.6.c.d -p tcp --dport 3389 -j SNAT --to-source 61.144.a.b
service iptables save
將當前規則保存到 /etc/sysconfig/iptables
若你對這個文件很熟悉直接修改這里的內容也等于命令行方式輸入規則。
5、 啟動iptables 服務, service iptables start
可以寫進腳本,設備啟動自動運行;
# vi /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.</p><p>touch /var/lock/subsys/local</p><p>sh /root/myshipin.log
---------------------------------------------------------------------
vi myshipin.log
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.</p><p>iptables -F -t nat
iptables -t nat -A PREROUTING --dst 61.144.a.b -p tcp --dport 3389 -j DNAT --to-destination 116.6.c.d:3389
iptables -t nat -A POSTROUTING --dst 116.6.a.b -p tcp --dport 3389 -j SNAT --to-source 61.144.c.d
~
----------------------------------------------------------------
TCP</p><p>iptables -t nat -A PREROUTING --dst 61.144.a.b -p tcp --dport 9304 -j DNAT --to-destination 10.94.a.b:9304
iptables -t nat -A POSTROUTING --dst 10.94.a.b -p tcp --dport 9304 -j SNAT --to-source 61.144.a.b</p><p>UDP
iptables -t nat -A PREROUTING --dst 61.144.a.b -p udp --dport 9305 -j DNAT --to-destination 10.94.a.b:9305
iptables -t nat -A POSTROUTING --dst 10.94.a.b -p udp --dport 9305 -j SNAT --to-source 61.144.a.b
另:iptables配置文件的位置:/etc/sysconfig/iptables 外網地址發變化在配置文件里修改就可以了。
