如何實現Linux網絡端口映射 iptables端口轉發配置

2112

實現linux網絡端口映射需先開啟ip轉發并配置iptables規則。1. 修改/etc/sysctl.conf文件啟用ip轉發:net.ipv4.ip_forward=1,執行sysctl -p生效;2. 添加iptables規則,使用prerouting鏈進行dnat轉換,如:iptables -t nat -a prerouting -p tcp –dport 80 -j dnat –to-destination 192.168.1.100:80;3. 在postrouting鏈中配置masquerade或snat,如:iptables -t nat -a postrouting -p tcp -d 192.168.1.100 –dport 80 -j masquerade;4. 保存規則至系統,centos/rhel使用service iptables save,ubuntu/debian使用iptables-save > /etc/iptables/rules.v4;5. 驗證規則使用iptables -t nat -l -n -v,并測試外部訪問;常見問題包括input鏈未放行對應端口、nat規則順序錯誤、內核模塊未加載及selinux/apparmor限制等,需逐一排查。

如何實現Linux網絡端口映射 iptables端口轉發配置

實現Linux網絡端口映射,主要通過iptables進行配置。這在需要將外部訪問的某個端口轉發到內網其他主機時非常常見,比如你想讓外網訪問你局域網里的一臺Web服務器,或者想把公網IP的22端口轉給另一臺機器做ssh登錄。

如何實現Linux網絡端口映射 iptables端口轉發配置

開啟系統的IP轉發功能

首先,Linux系統默認是不開啟IP轉發的,也就是說它不會自動把收到的數據包轉發出去。要啟用這個功能,只需要修改/etc/sysctl.conf文件:

如何實現Linux網絡端口映射 iptables端口轉發配置

net.ipv4.ip_forward=1

然后執行以下命令使配置生效:

sysctl -p

這樣系統就具備了轉發數據包的能力。這是所有端口轉發的基礎,如果沒打開,后面的iptables規則也不會起作用。

如何實現Linux網絡端口映射 iptables端口轉發配置

配置iptables實現端口轉發

接下來就是關鍵步驟——配置iptables規則。假設你有一臺公網服務器,它的IP是203.0.113.10,你想把外部訪問的80端口轉發到內部局域網中IP為192.168.1.100的機器上,可以添加如下規則:

# PREROUTING鏈負責處理進入前的數據包,這里是將目標地址和端口轉換 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80  # POSTROUTING鏈負責源地址轉換,確保回程流量能正確返回 iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 80 -j MASQUERADE

如果你只想轉發一個端口(比如把公網的8080轉到內網的80),只需要改一下目標端口:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80

注意:MASQUERADE適用于動態IP環境(比如ADSL撥號)。如果你有固定公網IP,建議使用SNAT代替:iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 –dport 80 -j SNAT –to-source 203.0.113.10

保存并驗證規則是否生效

配置完后別忘了保存iptables規則,否則重啟就會失效:

service iptables save
  • Ubuntu/Debian系統:
iptables-save > /etc/iptables/rules.v4

驗證方法也很簡單,可以用iptables -t nat -L -n -v查看nat表中的規則是否存在,也可以用外部機器嘗試訪問公網IP的對應端口,看是否能連接到內網的服務。

可能遇到的問題及排查思路

  1. 防火墻阻止連接
    確保你的INPUT鏈允許對應端口的訪問,比如允許80端口進來:

    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

  2. NAT規則未加載或順序錯誤
    NAT規則必須放在PREROUTING和POSTROUTING鏈中,且不能和其他規則混淆。

  3. 內核模塊未加載
    某些情況下可能需要手動加載nf_nat、nf_conntrack等模塊:

    modprobe nf_nat modprobe nf_conntrack

  4. SELinux或AppArmor限制
    如果你使用的是CentOS或RHEL,檢查SELinux狀態,必要時臨時關閉排查問題。

基本上就這些操作了。看起來不復雜,但實際配置中很容易忽略某些細節,比如忘記開啟ip_forward,或者沒有放行INPUT鏈,導致看似配置正確卻無法訪問。只要一步步檢查,通常都能解決。

? 版權聲明
THE END
互聯網運維
# linux# centos# debian# ubuntu# ssh# input
喜歡就支持一下吧
點贊12 分享