端口映射

  有機器不能直接訪問其餘網段的服務器,須要用臺機器作「跳板」。特記錄windows及centos下的操做。linux

  場景以下:在SRV_a上設置端口映射後,client經過訪問SRV_a的port1端口便可達到訪問SRV_b的port2的目的。全部操做均在SRV_a上。windows

  1. windows:須要開啓路由服務。經過netsh命令進行設置:
    • 添加映射:netsh interface portproxy add v4tov4 listenaddress=0.0.0.0(或SRV_a) listenport=port1 connectaddress=SRV_b connectport=port2
    • 刪除映射:netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0(或者SRV_a) listenport=port1
    • 查看映射:netsh interface portproxy show all
    • 補充說明:必須增長路由服務的角色,同時必須保證IP Helper服務是啓動的(若是禁用,會出現一切命令正常,但始終沒有端口偵聽,netstat -na看不到listenport)。
  2. Centos:經過iptables功能實現:
    • 開啓linux轉發功能:
      • 臨時開啓:echo 1 >/proc/sys/net/ipv4/ip_forward
      • 永久開啓:修改/etc/sysctl.conf,增長或修改net.ipv4.ip_forward = 1;執行sysctl -p使之馬上生效
    • 添加映射(執行命令):
      • iptables -t nat -A POSTROUTING -j MASQUERADE
      • iptables -t nat -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_a:port2
    • 添加映射(修改配置文件/etc/sysconfig/iptables):注意粗體字部分
      *nat
      :PREROUTING ACCEPT [516:31248] :INPUT ACCEPT [516:31248]
      :OUTPUT ACCEPT [94:7051]
      :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_b:port2 -A POSTROUTING -j MASQUERADE
      COMMIT
      # Completed on Thu Jun 27 14:43:55 2019
      # Generated by iptables-save v1.4.21 on Thu Jun 27 14:43:55 2019
      *filter
      :INPUT ACCEPT [5952:597704]
      :FORWARD ACCEPT [15:2307]
      :OUTPUT ACCEPT [4382:425946]
      COMMIT
      # Completed on Thu Jun 27 14:43:55 2019
    • 查看映射:iptables -L -n --line-number
    • 刪除映射:指定刪除編號爲2的FORWORD規則,iptables -D FORWARD 2
    • 插入規則:sudo iptables -I INPUT 13 -s x.x.x.x/32 -p tcp -m tcp --dport port -j ACCEPT
    • 重啓iptables服務:service iptables restart
相關文章
相關標籤/搜索