IPTABLES利用端口转发骗过防火墙

oracle26

请教个问题：

如果A服务器上设置了IPTABLES，B服务器能访问A服务器的任何端口，除了22端口，那我们能不能在A服务器上设置把B访问A:80端口的连接都转发到22端口上，然后实现ssh
我在A服务器上试了下面两个规则，B服务器还是不能访问A服务器的22端口！请问如何能实现呢？但如果我把第二条规则去掉，从B服务器就可以通过80端口ssh A服务器。

iptables -I INPUT -p tcp --dport 22 -j DROP                                                 ## 屏蔽22端口

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 22     ##实现端口转发

jweifeng

现在A 服务器作为路由，转换80端口到22端口，
如果在A 的另一端有另一台C
B用80端口访问C的22端口，你这两条规则应该可行。

oracle26

但B现在只能访问A的某些端口（不包含22端口），没有其他服务器

我看了iptable的执行流程，是先nat再filter，所以理论上应该不行

不知道有没有其他办法？可以实现B通过访问A的80端口来ssh？如果不改ssh的默认端口的话

回复 2# jweifeng


   

chenyx

感觉你的第一条规则,已经禁止所有的ssh端口了,你第二条转换规则无论什么端口,都应该连接不上才对.

oracle26

恩，因为是先nat在fileter，所以源地址和目标端口其实都没变，除非在A出来的时候做了snat，所以理论上用这两条是不行的

想问问有没有其他办法？

回复 4# chenyx


   

chenyx

我觉得没有办法,除非修改ssh端口.
本身你的两条规则就是互相矛盾的,已经禁止访问的端口,再怎么redirect,都会被丢弃的.
另外,Dnat,会修改数据包的目的地址和端口