使用IPtables 实现数据转发



使用IPtables 实现数据转发

(2011-07-10 17:46:21)

转载▼

标签： 杂谈

分类： iptables

背景：

某公司需要连接业务平台，但是又不能直接连接，需要一台机器A作为数据跳转。

具体需求：

B机器访问A机器的80端口需要跳转到C机器的80

解决方法：

使用iptables 的DNAT，SNAT实现。

A机器iptables设置：

iptables -t nat -A PREROUTING  -s B机器地址 -p tcp -m tcp --dport 80 -j DNAT --to-destination C机器地址:80   （实现数据映射）

 

iptables -A FORWARD -s B机器地址 -j ACCEPT （允许B机器的数据通过这台机器）

iptables -P FORWARD DROP （设置默认FORWARD规则）

 

iptables -t nat -A POSTROUTING -j MASQUERADE (设置SNAT地址转换)

开启机器的路由转发：

 

vi  /etc/sysctl.conf

将 net.ipv4.ip_forward = 0 改成：

net.ipv4.ip_forward = 1

syscty -p

这样就可以实现拉。

记得保存设置

service iptables save

SNAT 指定目的地址的 转换：

iptables -t nat -A POSTROUTING -d xxx.xxx.xxx.xxx -j SNAT --to-source xxx.xxx.xxx.xxx:port

应用于中转机器：

访问A 机器地址的 8080  通过转换估定 IP 转发B 机器的 80

往往这个时候是访问A机器其他端口从 另一个 IP SNAT 出去

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8080 -j DNAT --to-destination B机器地址:80   （实现数据映射） 

iptables -t nat -A -d B机器地址 -j SNAT --to-source 固定IP

解释一下，因为 prerouting 的链 在 postrouting 链的里边，所以，在到达 postrouting 链的时候，这个数据已经是目的地址是 B 机器的数据了，所以在做策略的时候要使用  目的地址过滤。