iptables转发到回环地址的问题

brumby007

偶的机器ip是192.168.4.XX
现在我有一个程序是监听127.0.0.1的2323端口。
我想利用iptable的转发功能，将所有访问192.168.4.XX的2323端口都转到127.0.0.1的2323端口上。
于是我试了以下的脚本：
#!/bin/sh
iptables -t nat -A POSTROUTING -d 192.168.4.104 -p tcp --dport 2323 -j DNAT --to 127.0.0.1:2323
iptables -t nat -A PREROUTING -d 192.168.4.104 -p tcp --dport 2323 -j DNAT --to 127.0.0.1:2323
iptables -t nat -A POSTROUTING -d 127.0.0.1 -p tcp --dport 2323 -j SNAT --to 192.168.4.104:2323
iptables -A FORWARD -i eth0 -s 127.0.0.1 -p tcp --sport 2323 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -d 192.168.4.104 -p tcp --dport 2323 -j ACCEPT
可是貌似无效，求高手指点

fangtong2008

晕，你不能把那个程序监听所有地址吗？这规则看起来很乱呀，不短道能不能这么用！！

brumby007

{:2_166:}大哥，我就是因为那程序不能监听所有地址才这么干的？

bfz814

iptables -I PREROUTING -t nat -d 192.168.4.104  -j REDIRECT --to-ports 2323

samlumengjun

你这样做不是多此一举?只要把流量复制到lo上就可以了.不过iptables里好象只有1.3.5以下版本才支持--tee的.具体怎么做你去查查iptables --tee. 几年前我也这么做过,现在早忘了.

aaaaa5aa

tee工具好像早就不支持了

samlumengjun

不用--tee的话你觉得楼主这样能行的通吗?源/目的地址转换是修改ip头上的源/目的地址,如果象楼主这样修改,是可以让访问192.168.4.104 的包到127.0.0.1上的,但是问题是到了127.0.0.1就结束了,127.0.0.1是不会往外发包的所以再做源地址转换也没用,而且楼主iptables用法也不对PREROUTING只关心源地址和入网卡,而POSTROUTING则只关心目的地址和出网卡.象这种监听需求,要么用libpcap自己写程序,要么raw socket也要自己写程序.最简单的就是用tee.我早说了用tee的话必须用低版本iptables,看看这个,上面有介绍怎么用tee和打什么补丁http://www.netfilter.org/projects/patch-o-matic/pom-external.html