免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 5764 | 回复: 16
打印 上一主题 下一主题

iptables 端口映射问题求教 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-09-12 08:50 |只看该作者 |倒序浏览
20可用积分
用iptables,能不能实现:
1.允许外部链接88端口,不允许外部访问80端口
2.88端口映射到80端口(即允许通过88转发到80的外部请求)

简而言之就是,把本机的88映射到80,通过88对外开放访问,而80不开放。


尝试过用
iptables -t nat -A PREROUTING -p tcp --dport 88 -j REDIRECT --to-port 80

以及
iptables -t nat -A PREROUTING -p tcp --dport 88 -j DNAT --to-destination MYIP:80


但还是得要开放80端口,才能用88访问成功。
或者iptables有没什么参数可以判断转发来源的?

注:
在iptables规则中最后一条规则是
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
因此:
1. 在本地访问任何端口默认都是允许的
2. 用iptables命令新添加的规则时,应该用-I 来插入

[ 本帖最后由 crazysoul 于 2008-9-16 10:16 编辑 ]

论坛徽章:
0
2 [报告]
发表于 2008-09-12 09:41 |只看该作者
可以通过ssh端口转发实现

ssh -g -L 88:localhost:80 My_IP_Addr

然后iptables允许88,禁止80就可以

论坛徽章:
0
3 [报告]
发表于 2008-09-12 09:45 |只看该作者
例如我这里在server:192.168.0.200上测试转发2323端口到23端口

1.
ssh -g -L 2323:localhost:23 192.168.0.200


2.
iptable的配置文件TEST的内容:

:INPUT DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT

######## Allow TELNET2323 #########
-A INPUT -p tcp --dport 2323 -j LOG --log-level info --log-prefix "[TELNET2323]:"
-A INPUT -d 192.168.0.200 -p tcp --dport 2323 -j ACCEPT



3.
读入,iptables-restore TEST


4.
从别机
telnet 192.168.0.200 失败
telnet 192.168.0.200 2323 成功

[ 本帖最后由 hahasasa 于 2008-9-12 09:47 编辑 ]

论坛徽章:
0
4 [报告]
发表于 2008-09-12 10:12 |只看该作者
只设置iptables的规则不能实现吗?

论坛徽章:
0
5 [报告]
发表于 2008-09-12 12:42 |只看该作者
你是要在本机实现跳转还是在防火墙上实现跳转到内部机器的88?

论坛徽章:
0
6 [报告]
发表于 2008-09-12 13:00 |只看该作者
原帖由 剑次狼 于 2008-9-12 12:42 发表
你是要在本机实现跳转还是在防火墙上实现跳转到内部机器的88?


本机上,iptables就在本机上

论坛徽章:
0
7 [报告]
发表于 2008-09-12 13:56 |只看该作者
原帖由 crazysoul 于 2008-9-12 08:50 发表
用iptables,能不能实现:
1.允许外部链接88端口,不允许外部访问80端口
2.88端口映射到80端口(即允许通过88转发到80的外部请求)



似乎不可以。

不允许外部访问80端口(但允许本机访问自己),意味着必须在INPUT中允许源地址为本机的包访问80,再DROP掉源地址为any,dport为80的包。

而要做88->80映射,意味着必须在PREROUTING里做REDIRECT,但PREROUTING中无法做NAT,故包流到INPUT前源地址无法转换为本机地址(如果能,就可以通过INPUT了),故无法被INPUT中的规则接受。


不知道这么理解有没有问题。。。

论坛徽章:
0
8 [报告]
发表于 2008-09-12 14:05 |只看该作者
#!/bin/bash
ipt="/sbin/iptables"
$ipt -t filter -F
$ipt -t filter -A INPUT -d "自己ip" --dport 80 -j DROP
$ipt -t filter -A nat -d "自己ip" -p --dport 88 -j DNAT --to ip:80
$ipt -t filter -A nat -j MASQUERADE

论坛徽章:
0
9 [报告]
发表于 2008-09-12 17:08 |只看该作者
原帖由 7717060 于 2008-9-12 14:05 发表
#!/bin/bash
ipt="/sbin/iptables"
$ipt -t filter -F
$ipt -t filter -A INPUT -d "自己ip" --dport 80 -j DROP
$ipt -t filter -A nat -d "自己ip" -p --dport 88 -j DNAT --to ip:80
$ipt -t filter -A ...



最后两句都有错,是没有经过实践测试的吧?

我试过用
iptables -t nat -A PREROUTING -p tcp --dport 88 -j DNAT --to-destination ip:80

效果跟用REDIRECT 一样,结果还是得开放80,88才能访问成功

论坛徽章:
0
10 [报告]
发表于 2008-09-12 17:13 |只看该作者
原帖由 hahasasa 于 2008-9-12 13:56 发表



似乎不可以。

不允许外部访问80端口(但允许本机访问自己),意味着必须在INPUT中允许源地址为本机的包访问80,再DROP掉源地址为any,dport为80的包。

而要做88->80映射,意味着必须在PREROUTING里 ...



所以想请教下熟悉iptables的同学,有没一个参数,是可以判断是iptables自己从88端口转发到80的(类似apache 的url rewrite规则),这样就可以允许这条规则对外开放了
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP