ITPub博客

首页 > IT基础架构 > 网络安全 > iptables 实现端口映射

iptables 实现端口映射

原创 网络安全 作者:Steven1981 时间:2007-10-25 13:19:06 0 删除 编辑

学习积累

[@more@]

环境:
客户端IP:1.2.3.4
网关
#eth0 外网 220.101.222.46(此地址为防火墙上填的外网地址)
192.168.123.123(此地址为防火墙映射到网关ETH0上的地址)
#eth1 内网 192.168.101.67

内网数据库
#192.168.101.66:1521

要实现这些功能,只要在iptables列表运行以下语句:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.123.123 --dport 1521 -j DNAT --to 192.168.101.66
iptables -A FORWARD -p tcp -d 192.168.101.66 --dport 1521 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.101.66 -p tcp --dport 1521 -j SNAT --to 192.168.123.123


在这里对上面几条的作用解释一下:
echo 1 > /proc/sys/net/ipv4/ip_forward
这一句,要使FORWARD能转发成功,就必须写.

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.123.123 --dport 1521 -j DNAT --to 192.168.101.66
是把发送到192.168.123.123的1521数据都转发到192.168.101.66

iptables -A FORWARD -p tcp -d 192.168.101.66 --dport 1521 -j ACCEPT
要想把数据转发到101.66,还得允许转发这个包.

接下来的问题是,数据顺利到达了101.66,但数据没有能正常返回,因为到达101.66的源地址是1.2.3.4,而101.66是没法直接与1.2.3.4进行通信的.
所以需要把这条连接的源地址也改一改.
iptables -t nat -A POSTROUTING -d 192.168.101.66 -p tcp --dport 1521 -j SNAT --to 192.168.123.123

这样,数据就能正常通信了.

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/703656/viewspace-978530/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    127
  • 访问量
    837062