端口映射

　　有機器不能直接訪問其餘網段的服務器，須要用臺機器作「跳板」。特記錄windows及centos下的操做。

　　場景以下：在SRV_a上設置端口映射後，client經過訪問SRV_a的port1端口便可達到訪問SRV_b的port2的目的。全部操做均在SRV_a上。

1. windows：須要開啓路由服務。經過netsh命令進行設置：
   • 添加映射：netsh interface portproxy add v4tov4 listenaddress=0.0.0.0(或SRV_a) listenport=port1 connectaddress=SRV_b connectport=port2
   • 刪除映射：netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0(或者SRV_a) listenport=port1
   • 查看映射：netsh interface portproxy show all
   • 補充說明：必須增長路由服務的角色，同時必須保證IP Helper服務是啓動的（若是禁用，會出現一切命令正常，但始終沒有端口偵聽，netstat -na看不到listenport）。
2. Centos：經過iptables功能實現：
   • 開啓linux轉發功能：
     
     • 臨時開啓：echo 1 >/proc/sys/net/ipv4/ip_forward
     • 永久開啓：修改/etc/sysctl.conf，增長或修改net.ipv4.ip_forward = 1；執行sysctl -p使之馬上生效
   • 添加映射（執行命令）：
     
     • iptables -t nat -A POSTROUTING -j MASQUERADE
     • iptables -t nat -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_a:port2
   • 添加映射（修改配置文件/etc/sysconfig/iptables）：注意粗體字部分
     

     *nat
     :PREROUTING ACCEPT [516:31248] :INPUT ACCEPT [516:31248]
     :OUTPUT ACCEPT [94:7051]
     :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_b:port2 -A POSTROUTING -j MASQUERADE
     COMMIT
     # Completed on Thu Jun 27 14:43:55 2019
     # Generated by iptables-save v1.4.21 on Thu Jun 27 14:43:55 2019
     *filter
     :INPUT ACCEPT [5952:597704]
     :FORWARD ACCEPT [15:2307]
     :OUTPUT ACCEPT [4382:425946]
     COMMIT
     # Completed on Thu Jun 27 14:43:55 2019

   • 查看映射：iptables -L -n --line-number
   • 刪除映射：指定刪除編號爲2的FORWORD規則，iptables -D FORWARD 2
   • 插入規則：sudo iptables -I INPUT 13 -s x.x.x.x/32 -p tcp -m tcp --dport port -j ACCEPT
   • 重啓iptables服務：service iptables restart