那些遇到过的问题

如何使用 iptables 将出站流量重定向到另一个 IP

lal*_*ala 5 ubuntu iptables iptables-redirect

我有 server1 (192.168.0.1:8080) 和 server2 (192.168.0.2:8765)。我需要使用 iptables 将 OUTBOUND 流量从 server1 端口 8080 重定向到 server2。

在 server1 上我设置:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A OUTPUT -p tcp --sport 8080 -m owner --uid-owner nobody -j ACCEPT
iptables -t nat -A OUTPUT -p tcp --sport 8080 -m owner --uid-owner tomcat7 -j DNAT --to-destination 192.168.0.2:8765
Run Code Online (Sandbox Code Playgroud)

但它不起作用。没有-m-uid-owner参数也不起作用。

小智 8

我使用如下规则将用于给定主机:端口的输出流量重定向到另一个主机:端口。(它是为了模拟 VM 集群中的嵌入式系统(具有固定地址)。)

iptables -t nat -A OUTPUT -p tcp -d 192.168.1.101 --dport 1234 -j DNAT --to-destination 192.168.1.102:4321
Run Code Online (Sandbox Code Playgroud)

如果您安装了上述规则:

root@archive:~# telnet 192.168.1.101 8888
Run Code Online (Sandbox Code Playgroud)

您将看到流向指定地址的流量:

root@archive:~# tcpdump -i eth2 host 192.168.1.102 or host 192.168.1.101
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 262144 bytes
21:04:27.953124 IP archive.34496 > 192.168.1.101.8888: Flags [S], seq 2498286032, win 29200, options [mss 1460,sackOK,TS val 961612280 ecr 0,nop,wscale 7], length 0
21:04:28.949044 IP archive.34496 > 192.168.1.101.8888: Flags [S], seq 2498286032, win 29200, options [mss 1460,sackOK,TS val 961612530 ecr 0,nop,wscale 7], length 0
Run Code Online (Sandbox Code Playgroud)

如果你:

root@archive:~# telnet 192.168.1.101 1234
Run Code Online (Sandbox Code Playgroud)

您应该会看到流向转换地址的流量:

21:04:50.321139 IP archive.53164 > 192.168.1.102.4321: Flags [S], seq 2332928074, win 29200, options [mss 1460,sackOK,TS val 961617873 ecr 0,nop,wscale 7], length 0
21:04:52.325090 IP archive.53164 > 192.168.1.102.4321: Flags [S], seq 2332928074, win 29200, options [mss 1460,sackOK,TS val 961618374 ecr 0,nop,wscale 7], length 0
Run Code Online (Sandbox Code Playgroud)

您问题中的规则指定了一个源端口(--sport)。对于 OUTBOUND 流量,您通常不知道源端口 - 它通常在套接字绑定/连接时动态分配。例如:上述转储中的 34496 和 53164。

归档时间:

查看次数:

16357 次

最近记录:

6 年,10 月 前
相关归档
如何确保SSH端口只对特定IP地址开放? 46
切换 Fn 键状态 29
端口转发到 VPN 客户端? 24
NAT 反射(NAT 环回)如何工作? 7
如何找到我安装的每个应用程序/软件包的许可证? 6
TC(流量控制)控制带宽 5
如果未安装用户默认 shell 会发生什么? 5
访问 Ubuntu 上的文件时出现只读文件系统错误 3
sda 和 sdb 继续交换 3
如何禁用 VirtualBox 共享文件夹的身份验证要求? 3
难疑归档
Apache 文件访问日志存储在哪里? 200
如何在解压过程中选择目录名称 164
如何从文件中导出变量? 138
OOM 杀手如何决定先杀死哪个进程? 127
如何将文件列表传递给 grep 121
如何将文本从 vim 复制到外部程序? 116
“systemctl daemon-reload”有什么作用? 107
搜索 shell 历史的最佳方式 91
为什么普通用户不能`chown`一个文件? 90
"3>&1 1>&2 2>&3" 在脚本中有什么作用? 84