免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 iptables本地端口转发+对指定IP开放指定端口
最近访问板块 发新帖
查看: 1778 | 回复: 3
打印 上一主题 下一主题

[系统管理] iptables本地端口转发+对指定IP开放指定端口 [复制链接]

andrew0319

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2015-12-21 17:25 |只看该作者 |倒序浏览
【问题描述】
一台web server,http端口80,现要求将从80端口进来的数据都转发到本机9000端口,但是9000不能对外开放,因为我不是很懂web/linux这块的东西,我理解的对外开放就是IP:9000能打开网页就算是对外开放了。

找了好几天关于iptables的资料,还是没太懂怎么配置。刚看到有个跟我情况类似的帖子:iptables本地端口转发问题,请教解决方案----http://bbs.chinaunix.net/thread-4175607-1-1.html

照的里面答案写了一下配置:

iptables -t mangle -I PREROUTING -p tcp --dport 9000 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 9000

测试下来的情况是网页能通过80端口正常打开、IP:9000无法打开网页,但是我还想指定特定IP能访问web server上的9000端口,就是说IP:9000对特定IP有效。各位大神,诚心请教,拜谢!!

目前的配置是这样:
[root@i:/etc]#service iptables status
Table: mangle
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9010
2    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:9000

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 9000

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
yyu0378

论坛徽章:
17
巨蟹座 日期:2014-11-20 23:04:5215-16赛季CBA联赛之北控 日期:2018-08-01 16:08:4015-16赛季CBA联赛之浙江 日期:2017-12-08 11:25:2415-16赛季CBA联赛之四川 日期:2016-11-21 00:16:50操作系统版块每日发帖之星 日期:2016-07-28 06:20:0015-16赛季CBA联赛之吉林 日期:2016-05-25 15:36:04操作系统版块每日发帖之星 日期:2016-02-12 06:20:002015亚冠之西悉尼流浪者 日期:2015-08-28 14:48:322015亚冠之平阳省 日期:2015-08-19 14:54:162015亚冠之武里南联 日期:2015-07-07 10:49:112015亚冠之城南 日期:2015-06-22 10:15:002015亚冠之山东鲁能 日期:2015-06-18 18:03:44
2 [报告]
发表于 2015-12-21 18:47 |只看该作者
需要分两步做测试:
1:保证9000端口可以访问,mangle是不需要的,你写的那个nat的是对的
2:在保证9000可以访问后,在INPUT表写入对IP的限制
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
andrew0319

论坛徽章:
0
3 [报告]
发表于 2015-12-21 21:16 |只看该作者
谢谢你的回复,那个NAT是用来本地端口转发吧,具体的INPUT规则怎么写呢,我不太懂PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING的区别。谢谢!

回复 2# yyu0378


   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
andrew0319

论坛徽章:
0
4 [报告]
发表于 2015-12-22 18:29 |只看该作者
自己顶起来
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP