Linux iptables 端口映射

Linux iptables 端口映射
服務器 A 網口
em1:11.1.1.251
em3:192.168.1.111
11.1.1.8 內網數據庫
192.168.1.*網段須要經過服務器 A 作端口映射訪問內網 11.1.1.8 數據
庫1
、首先應該作的是/etc/sysctl.conf 配置文件的 net.ipv4.ip_forward = 1
默認是 0。
執行：
[root@WS  ~]#sysctl -p
這樣容許 iptalbes FORWARD。
2、在/etc/rc.d/init.d 目錄下有 iptables 文件，使用格式以下
Usage: service iptables {start|stop|restart|condrestart|status|panic|save}
把 iptables 服務中止，清除之前的規則，存盤
到/etc/rc.d/init.d 目錄下，運行
[root@WS  ~]#service iptables stop
[root@WS  ~]#iptalbes -F //-F: FLASH，清空規則鏈
[root@WS  ~]#iptalbes -X //-X: 用於刪除用戶自定義的空鏈,使用方法跟-N 相同，但
是在刪除以前必需要將裏面的鏈給清空昂了
[root@WS  ~]#iptalbes -Z //-Z：清空鏈，及鏈中默認規則的計數器的（有兩個計數
器，被匹配到多少個數據包，多少個字節）
[root@WS ~]#service iptables save //保存
3、從新配置規則
(1)em3 爲私網卡，訪問 1522 端口時映射到 11.1.1.8 的 1521 端口
[root@WS ~]#iptables -t nat -A PREROUTING -i em3 -p tcp --dport 1522
-j DNAT --to-destination 11.1.1.8:1521
(2)11.1.1.8 內網地址 1521 返回，這條規則作了一個 SNAT，也就是源
地址轉換，未來自 11.1.1.8 的地址轉換爲 11.1.1.251,該 11.1.1.251 另外一
個網口 em3 就把 tcp 包轉發到 em3 所屬私網段。
[root@WS ~]#iptables -t nat -A POSTROUTING -d 11.1.1.8 -p tcp --dport
1521 -j SNAT --to 11.1.1.251
。。。。再配置防火牆可通行端口，第 2 步已經被所有清除配置。
[root@WS ~]#iptables -A INPUT -p tcp -m state --state NEW -m tcp
--dport 1522 -j ACCEPT
DNAT SNAT 的請參考幫助。
4、新的規則存盤
[root@WS ~]#service iptables save
規則存盤後在/etc/sysconfig/iptables 這個文件裏面，若你對這個文件
很熟悉
直接修改這裏的內容也等於命令行方式輸入規則。
5、啓動 iptables 服務
[root@WS ~]#service iptables start
在/proc/net/ip_conntrack 文件裏有包的流向，以下面
tcp 6 53 TIME_WAIT src= xx.xx dst=xx.xx sport=7958 dport=8080
packets=9 bytes=1753
192.168.1.*網段便可經過 1522 訪問內網數據庫，測試經過。。。