iptables 端口映射问题求教

crazysoul

用iptables，能不能实现：
1.允许外部链接88端口，不允许外部访问80端口
2.88端口映射到80端口（即允许通过88转发到80的外部请求）

简而言之就是，把本机的88映射到80，通过88对外开放访问，而80不开放。


尝试过用
iptables -t nat -A PREROUTING -p tcp --dport 88 -j REDIRECT --to-port 80

以及
iptables -t nat -A PREROUTING -p tcp --dport 88 -j DNAT --to-destination MYIP:80


但还是得要开放80端口，才能用88访问成功。
或者iptables有没什么参数可以判断转发来源的？

注：
在iptables规则中最后一条规则是
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
因此：
1. 在本地访问任何端口默认都是允许的
2. 用iptables命令新添加的规则时，应该用-I 来插入

[ 本帖最后由 crazysoul 于 2008-9-16 10:16 编辑 ]

hahasasa

可以通过ssh端口转发实现

ssh -g -L 88:localhost:80 My_IP_Addr

然后iptables允许88，禁止80就可以

hahasasa

例如我这里在server:192.168.0.200上测试转发2323端口到23端口

1.
ssh -g -L 2323:localhost:23 192.168.0.200


2.
iptable的配置文件TEST的内容:

:INPUT DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT

######## Allow TELNET2323 #########
-A INPUT -p tcp --dport 2323 -j LOG --log-level info --log-prefix "[TELNET2323]:"
-A INPUT -d 192.168.0.200 -p tcp --dport 2323 -j ACCEPT



3.
读入，iptables-restore TEST


4.
从别机
telnet 192.168.0.200 失败
telnet 192.168.0.200 2323 成功

[ 本帖最后由 hahasasa 于 2008-9-12 09:47 编辑 ]

crazysoul

只设置iptables的规则不能实现吗？

剑次狼

你是要在本机实现跳转还是在防火墙上实现跳转到内部机器的88？

crazysoul

原帖由 剑次狼 于 2008-9-12 12:42 发表
你是要在本机实现跳转还是在防火墙上实现跳转到内部机器的88？

本机上，iptables就在本机上

hahasasa

原帖由 crazysoul 于 2008-9-12 08:50 发表
用iptables，能不能实现：
1.允许外部链接88端口，不允许外部访问80端口
2.88端口映射到80端口（即允许通过88转发到80的外部请求）

似乎不可以。

不允许外部访问80端口（但允许本机访问自己），意味着必须在INPUT中允许源地址为本机的包访问80，再DROP掉源地址为any，dport为80的包。

而要做88－>80映射，意味着必须在PREROUTING里做REDIRECT，但PREROUTING中无法做NAT，故包流到INPUT前源地址无法转换为本机地址（如果能，就可以通过INPUT了），故无法被INPUT中的规则接受。


不知道这么理解有没有问题。。。

7717060

#!/bin/bash
ipt="/sbin/iptables"
$ipt -t filter -F
$ipt -t filter -A INPUT -d "自己ip" --dport 80 -j DROP
$ipt -t filter -A nat -d "自己ip" -p --dport 88 -j DNAT --to ip:80
$ipt -t filter -A nat -j MASQUERADE

crazysoul

原帖由 7717060 于 2008-9-12 14:05 发表
#!/bin/bash
ipt="/sbin/iptables"
$ipt -t filter -F
$ipt -t filter -A INPUT -d "自己ip" --dport 80 -j DROP
$ipt -t filter -A nat -d "自己ip" -p --dport 88 -j DNAT --to ip:80
$ipt -t filter -A ...

最后两句都有错，是没有经过实践测试的吧？

我试过用
iptables -t nat -A PREROUTING -p tcp --dport 88 -j DNAT --to-destination ip:80

效果跟用REDIRECT 一样，结果还是得开放80，88才能访问成功

crazysoul

原帖由 hahasasa 于 2008-9-12 13:56 发表



似乎不可以。

不允许外部访问80端口（但允许本机访问自己），意味着必须在INPUT中允许源地址为本机的包访问80，再DROP掉源地址为any，dport为80的包。

而要做88－>80映射，意味着必须在PREROUTING里 ...

所以想请教下熟悉iptables的同学，有没一个参数，是可以判断是iptables自己从88端口转发到80的（类似apache 的url rewrite规则），这样就可以允许这条规则对外开放了