转发forwardingiptables remote port forwarding

之前一直在学习转发forwarding之类的问题,当初正好有机会和大家共享一下.

今天再一次须要用到iptables的port forwarding功能，半年前用过一次，忘得差不多了，今次重新学习，写到博客上来加深记忆。iptables的remote port forwarding即用linux自带的iptables实现NAT功能。当然iptables已实现该功能，我们须要做的只是配置(写iptables的配置文件)。

    

1.什么时候须要用到该功能

    

当你须要NAT功能，但此时的NAT功能须要跑在一台linux机器而非路由器上。路由器都有专门的界面让你配置NAT，但是一般的linux没有那么友爱的路由管理系统，只有iptables供我们使用。

    

    

如果你不知道NAT是什么，基本上就不用往下看了，不过为了有助于懂得我还是略微描述一下场景。今天的情况是公司在外网有一台服务器A，希望使用公司已有的ldap服务。可是跑ldap的服务器B存在于公司内网中。为了A能联上B，我们希望借助服务器C作为gateway或者说路由或者说跳板。因为C有内网和外网两个网卡，所以它是内网和外网的gateway，或者说纽带。我们希望C能转发来自A的去处C服务器的389号端口(ldap服务的默认端口)的连接到B服务器的389号端口。

    

这个转发操纵其实可以分为两部分任务:

    

  1. 当C接收到A发来的tcp连接请求时，变动目标地址C.public_ip为B.ip，并发往内网

    

  2. 当C接收到B发来的对A的回复时，将源地址B.ip改为C.public_ip，并发往外网

    

    

2.如何配置iptables

    

使用/sbin/iptables往iptables系统里添加或者插入或者删除路由规矩。

    

转发操纵只有两步，但是系统管理员的任务要比两步多:

    

  1. 确认操纵系统中的转发功能已开启

$ /sbin/sysctl net.ipv4.ip_forward

net.ipv4.ip_forward = 1

返回值为1则已开启，为0则未开启。默认状态为未开启。

如果未开启，编辑

/etc/sysctl.conf

文件，找到net.ipv4.ip_forward=0这一行，改为1，然后执行命令

$ /sbin/sysctl -p /etc/sysctl.conf

  2. 使用/sbin/iptables添加路由规矩

/sbin/iptables -P FORWARD DROP

/sbin/iptables -P INPUT DROP

/sbin/iptables -A INPUT -p tcp --dport 389 -j ACCEPT

/sbin/iptables -t nat -P PREROUTING ACCEPT

/sbin/iptables -t nat -P POSTROUTING ACCEPT

/sbin/iptables -A FORWARD -o eth0 -i eth1 -s A.ip -d B.ip -j ACCEPT

/sbin/iptables -A FORWARD -o eth1 -i eth0 -s B.ip -d A.ip -j ACCEPT

/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp -s A.ip --dport 389 -j DNAT --to-destination B.ip:389

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

核心规矩在第8行和第九行。第八行执行上文提到的转发第一部分，第九行执行上文提到的转发第二部分。

    每日一道理
风，那么轻柔，带动着小树、小草一起翩翩起舞，当一阵清风飘来，如同母亲的手轻轻抚摸自己的脸庞，我喜欢那种感觉，带有丝丝凉意，让人心旷神怡。享受生活，不一定要有山珍海味、菱罗绸缎为伴，大自然便是上帝所赐予人类最为珍贵的。

    

    

1行2行指定默认policy，即若任一路由规矩都不适用于某个请求，则执行这里的默认行为DROP。

    

3行指明答应目标端口为389的请求。

    

4行5行指明答应做NAT的PREROUTING 和POSTROUTING

    

6行7行指明答应针对A和B之间的转发。即外网往内网转时，源必须是A，目标是B。为什么目标不是C呢？因为FORWARD的规矩在PREROUTING以后停止检修，所以那时的目标地址已改成了B的ip。内网往外网转时，源必须是B，目标是B。为什么源不是C呢？POSTROUTING不是要把源覆盖为C自己的大众ip吗？这是因为POSTROUTING是在FORWARD以后停止的。看了下面这幅图，就能明白iptables的机制

PACKET IN --->---PREROUTING---[ routing ]--->----FORWARD---->---POSTROUTING--->--- PACKET OUT

                         - mangle        |              - mangle        - mangle

                         - nat (dst)     |              - filter        - nat (src)

                                         |                                 |

                                         |                                 |

                                       INPUT                            OUTPUT

                                        - mangle                         - mangle

                                        - filter                         - nat (dst)

                                        |                                - filter

                                        |                                 |

                                        `---->----[ application ]---->----'

3. 最后保存当初的iptables的规矩到硬盘，以便下次重启机器后，还能记着这次的更新。切记切记，这个地方你肯定会出错的，发现怎么规矩乱变啊，花几个小时疯狂实验都没明白怎么回事。最后才发现iptables-save工具用错了，没给参数，或者参数给错了。记着下面的方法，就这么简略。

/etc/init.d/iptables save

因为常常初学iptables的时候，都会发当初同一个目录里头还有一个工具叫iptables-save，人们常常会自信的使用它来保存或者叫持久化之前变动过的iptables规矩。一旦重启机器后，就抓狂了，变动都没了。后来细心专研才发现iptables-save须要给参数指定保存到哪个文件！但是保存到文件的话，每次重启，都得手动载入这个文件到iptables，那么网络就总有一段时间处于非正常状态。有没有一个iptables默认读取的配置文件呢？有，在/etc/sysconfig/iptables 。你可以手敲这个命令 /sbin/iptables-save /etc/sysconfig/iptables，但还有个更方便的方法，就是/etc/init.d/iptables save

文章结束给大家分享下程序员的一些笑话语录： 一程序员告老还乡，想安度晚年，于是决定在书法上有所造诣。省略数字……，准备好文房4宝，挥起毛笔在白纸上郑重的写下：Hello World

--------------------------------- 原创文章 By
转发和forwarding
---------------------------------