iptables 端口映射问题求教

剑次狼

原帖由 crazysoul 于 2008-9-12 17:13 发表



所以想请教下熟悉iptables的同学，有没一个参数，是可以判断是iptables自己从88端口转发到80的（类似apache 的url rewrite规则），这样就可以允许这条规则对外开放了

iptables -t filter -A INPUT -s ! 本地IP -p tcp --dport 80 -j DROP

crazysoul

原帖由 剑次狼 于 2008-9-12 17:49 发表

iptables -t filter -A INPUT -s ! 本地IP -p tcp --dport 80 -j DROP

这个不起作用，我的具体测试规则如下：

#假设本机Ip是192.168.0.123
# 在iptables规则中最后一条是-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited，因此在本地访问任何端口默认都是允许的
# 所以以下都用-I 来插入规则

# 允许所有80请求
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
# 只允许本机访问80
iptables -I INPUT -p tcp --dport 80 -s ! 192.168.0.123 -j DROP
# 允许所有88请求
iptables -I INPUT -p tcp --dport 88 -j ACCEPT
# 将88请求转给80
iptables -t nat -I PREROUTING -p tcp --dport 88 -j REDIRECT --to-port 80

crazysoul

我看到有-j MARK 这个指令或许可以利用，但具体不知该怎样配合使用

crazysoul

看了一天文档，终于测试出来了


# 设置标记
iptables -t mangle -I PREROUTING -p tcp --dport 88 -j MARK --set-mark 8088

# 88内部转发到80
iptables -t nat -I PREROUTING -p tcp --dport 88 -j REDIRECT --to-ports 80

# 允许带有标记的80请求
iptables -I INPUT -p tcp --dport 80 -m mark --mark 8088 -j ACCEPT

CloudF_N

非常好，使用了罕用的MARK链

crazysoul

原帖由 CloudF_N 于 2008-9-16 17:35 发表
非常好，使用了罕用的MARK链

嗯，就是因为罕见，所以我这个半吊子的假冒SA搞了几天才摸索出来，可惜不能自评最佳答案

quidway668

iptables -t nat -A PREROUTING -p tcp --dport 88 -j DNAT --to-destination ip:80
iptables -A FORWARD -p tcp --dport 88 -j ACCEPT
用这两条就可以了，我每次都是用这两条搞定。