iptables端口转发设置方法详细步骤教程
在iptables中设置端口转发
想在iptables里搞定端口转发?这事儿其实没想象中那么复杂。核心就两样东西:PREROUTING链和DNAT目标。下面咱们就一步步拆解,把整个过程捋清楚。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
1. 确保iptables已安装
第一步,当然是确认你的“工具箱”里有没有iptables。虽然绝大多数Linux发行版都默认装好了,但稳妥起见,还是检查一下。如果真没有,用下面这条命令就能轻松装上:
sudo apt-get install iptables # Debian/Ubuntu
sudo yum install iptables # CentOS/RHEL2. 设置端口转发规则
好了,工具在手,现在来干正事。假设你有个常见的需求:把外部访问的8080端口,转发到内网一台IP为192.168.1.100的服务器的80端口上。怎么实现?一条命令就够了:
sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80这条命令看着参数不少,别慌,咱们拆开看:
-t nat:指定操作的是NAT表,端口转发就得用它。-A PREROUTING:在PREROUTING链里追加一条规则,这是数据包进来后最先经过的地方。-p tcp:指定协议是TCP,咱们转发的Web服务通常都跑在TCP上。--dport 8080:目标端口是8080,意思是所有发往本机8080端口的包都归这条规则管。-j DNAT:执行的动作是DNAT,也就是目标地址转换,这是转发的核心。--to-destination 192.168.1.100:80:最终目的地,数据包会被重定向到这个地址和端口。
3. 允许转发流量
规则加好了,但先别急。数据包改了地址之后,还得经过FORWARD链的“安检”才能去往内网。所以,我们得在FORWARD链上开个“绿灯”:
sudo iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT这条命令的意思是:允许那些目标是192.168.1.100的80端口的TCP数据包被转发。少了这一步,流量可能在半路就被丢弃。
4. 保存iptables规则
这里有个新手常踩的坑:用命令添加的规则只是临时生效,机器一重启就没了。所以,做完测试确认没问题后,务必记得保存。不同系统保存方法略有不同:
Debian/Ubuntu
sudo iptables-sa ve > /etc/iptables/rules.v4CentOS/RHEL
sudo service iptables sa ve如果你的系统用的是firewalld(比如新版的CentOS),那可能需要用这个命令来保存运行时配置:
sudo firewall-cmd --runtime-to-permanent5. 验证规则
配置完,怎么知道成没成功?用下面这两条命令看一眼最直观:
sudo iptables -t nat -L -v -n
sudo iptables -L -v -n第一条查看NAT表的详细规则,重点确认你的DNAT规则在不在。第二条查看FILTER表的规则,确认FORWARD链的放行规则是否生效。输出里找到你刚加的规则,就大功告成了。
注意事项
最后,再啰嗦几个关键点,能帮你避开不少麻烦:
- 操作iptables需要root权限,记得用
sudo。 - 在生产环境,强烈建议把规则收严。比如,在DNAT规则里加上
-s参数,只允许特定来源IP的流量转发,安全性会高得多。 - 别忘了,如果服务器跑在云上(比如AWS、阿里云),光配置iptables可能还不够。云平台的安全组或网络ACL相当于最外层的防火墙,那里面的规则也得相应放行8080端口的入站流量。
按照上面这个流程走一遍,在iptables里设置端口转发,基本就十拿九稳了。
相关攻略
Linux系统编程:使用stat()函数精准获取文件inode编号的完整指南 在Linux系统编程中,获取文件的inode编号是一项基础且关键的操作。标准流程是调用stat()系统调用,填充struct stat数据结构,然后访问其st_ino成员。一个常见误区是字段名称:正确的字段是st_ino,
C++如何读取Linux内核生成的Device Tree二进制流【深度】 Linux用户态如何解析内核加载的dtb文件 Linux内核在启动过程中会加载并解析dtb(设备树二进制)文件,将其转换为内部数据结构(如struct device_node)。一个关键限制是:**用户态程序无法直接访问内核内
实战解析:如何用C++精准读取Linux系统的CPU负载信息 在性能监控和系统调优时,CPU使用率是一个绕不开的核心指标。很多开发者第一反应是去调用系统命令,但直接在程序中解析系统数据源,往往能获得更高效、更灵活的解决方案。今天,我们就来深入聊聊如何从 proc stat这个宝藏文件中,用C++提取
用C语言实现目录同步:一个基于readdir的实战示例 在C语言编程实践中,目录同步是文件系统操作中的一项关键任务,广泛应用于数据备份、应用部署和系统管理等场景。readdir函数作为POSIX标准库的重要组成部分,为遍历目录条目提供了高效接口。本文将深入解析如何利用readdir函数构建一个基础目
Node js日志管理最佳实践:提升应用可观测性与排障效率 如何确保您的Node js应用运行稳定、问题排查高效?核心在于构建一套专业的日志管理体系。日志不仅是程序运行的“黑匣子”,更是洞察性能瓶颈、优化代码逻辑、提升运维效率的关键基础设施。以下十项经过验证的实践策略,将帮助您将简单的日志输出转化为
热门专题
热门推荐
H3C路由器登录管理界面提示证书错误,本质是浏览器与设备间SSL TLS安全握手未通过验证,属常见且可快速处置的技术现象。 遇到H3C路由器管理界面弹出“证书错误”的警告,你先别慌。这本质上不是什么大故障,而是浏览器与你的路由器之间在进行安全“握手”时,验证流程没走通。这在设备圈子里其实挺常见,尤其
针式打印机本身不使用墨粉,而是依靠色带击打完成打印,因此不存在“加墨粉”这一操作,更谈不上墨粉对寿命的影响。所谓“给针打加墨粉”的说法,实为混淆了针式打印机与激光打印机的核心成像原理——前者依赖物理撞击使色带染料转印,后者才通过静电吸附墨粉并经高温定影。权威行业资料显示,针式打印机的使用寿命主要取决
针式打印机不能加墨粉,它使用的是物理击打式打印原理,依靠色带盒中的油墨浸润织物带实现字符转印。 这事儿其实很好理解。针式打印机和办公室里常见的激光打印机,完全是两套“武功路数”。后者依赖碳粉在感光鼓上成像,再经过热压定影,过程充满了静电与高温的精密配合。而针式打印机呢?它的核心耗材体系自始至终都围绕
苏泊尔电磁炉的定时功能通常集成在面板主控区,通过“定时”专用按键一键调出 想给炖汤定个时,或者让火锅到点自动关机?这个操作其实就藏在面板的按键区里。苏泊尔电磁炉大多设有一个独立的“定时”键,位置通常在功能键组的右侧或者数字键的上方,图标很好认,不是沙漏就是个小时钟。轻轻一按,配合旁边的“加”和“减”
高端手机5G频段覆盖差异,核心在于对n28与n79等关键频段的支持完整性 说到高端手机的5G体验,一个常被忽略但至关重要的差异,就藏在那些看似枯燥的频段编号里。尤其是n28(700MHz)和n79(4 9GHz)这两个关键频段,它们的支持是否完整,直接决定了手机信号是“真全能”还是“有短板”。低频段