iptables的端口管理应用

siasjack

我想实现的功能：
访问我的路由器上的页面设置，让内网用户直接用80端口访问，让外网用户访问时使用1234端口
如果修改web服务器也能达到这个目的，但是我想iptables是否可以实现这个功能呢？另外问下有人修改过goahead源码来实现这个功能吗？请赐教
下面是我写的iptbals实现的方法：

用户自定义端口：1234，$wan为外网IP，$lan为内网ip,$mask子网掩码

Iptables –t nat –A PROUTING –d $wan –s !$lan/$mask –p tcp –m tcp –dport 1234 –j DNAT –to-destination $wan:80
Iptables –t nat –A PROUTING –s $wan –d !$lan/$mask –p tcp –m tcp –sport 80 –j DNAT –to-destination $wan:1234
原理：
        访问：凡是非内网IP访问路由的外网且端口为1234的均把此包的端口改为80
        返回：凡是从外网口发出的且目的ip为非内网ip，且源端口为80，都把目的端口改为1234，达到远程访问的目的
不知道这样写是不是对的呢？请对iptables熟悉的指点下！

chenyx

没用过你的那个web服务器.
你直接让web服务器侦听外网的1234和内网的80端口就行了,做nat没有必要啊

ulovko

让内网用户直接用80端口访问，让外网用户访问时使用1234端口
用户自定义端口：1234，$wan为外网IP，$lan为内网ip,$mask子网掩码

Iptables –t nat –A PROUTING –d $wan –s !$lan/$mask –p tcp –m tcp –dport 1234 –j DNAT –to-destination $wan:80
Iptables –t nat –A PROUTING –s $wan –d !$lan/$mask –p tcp –m tcp –sport 80 –j DNAT –to-destination $wan:1234

1. 
   
2. LAN_IP="local ip address"
   
3. LAN_IP_RANGE="lan/mask"
   
4. LAN_IFACE="lan nic"
   
5. 
   
6. INET_IP="public ip address"
   
7. INET_IFACE="internet nic"
   
8. 
   
9. IPTABLES="/sbin/iptables"
   
10. 
    
11. $IPTABLES -t nat -A PREROUTING -p tcp -s ! $LAN_IP_RANGE -d $INET_IP -i $INET_IFACE --dport 1234 -j DNAT --to-destination $LAN_IP:80
    
12. 
    

复制代码

siasjack

回复 2# chenyx
但是goahead只能侦听一个端口啊   默认的是80   呵呵  所以才用iptables试试能不能实现的！


   

chenyx

那你就试试3楼的方法,直接dnat到内网的80端口

siasjack

值得一试   正在找环境！