ubuntu iptables nat 数据包转发

问题：当机房某网络线路出现问题时（例如广东电信无法访问git.oschina.net） 临时应急解决方案：利用可访问节点A做端口转发，使得无法访问的用户可以正常访问。

A机公网IP（作为代理节点）：x.x.x.10,公网网卡为eth1 B机公网IP（git@osc服务器）：x.x.x.11

目的：通过访问x.x.x.10访问到x.x.x.11，转发端口包括22(SSH)，80(Http)，443(Https)

以下命令均在A机下root用户执行。

开启端口转发

＃ iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -d x.x.x.10 --dport 22 -j DNAT --to-destination x.x.x.11 

＃ iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -d x.x.x.10 --dport 80 -j DNAT --to-destination x.x.x.11 

＃ iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp -d x.x.x.10 --dport 443 -j DNAT --to-destination x.x.x.11 

＃ iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp -d x.x.x.11 --dport 22 -j SNAT --to-source x.x.x.10 

＃ iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp -d x.x.x.11 --dport 80 -j SNAT --to-source x.x.x.10 

＃ iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp -d x.x.x.11 --dport 443 -j SNAT --to-source x.x.x.10 

＃ echo 1 > /proc/sys/net/ipv4/ip_forward

临时关闭ufw，否则会影响iptables

＃ ufw disable

关闭端口转发

＃ echo 0 > /proc/sys/net/ipv4/ip_forward

查看 nat规则

＃ iptables -t nat -L -n --line-numbers

对应规则编号删除规则

＃ iptables -t nat -D PREROUTING $line-numbers

开启ufw

＃ ufw enable

至此，可将故障网络部分dns切换到A x.x.x.10，或者提示用户将本机host暂时映射到A x.x.x.10，待网络恢复再改回来。