Проброс портов (port forwarding) в Linux Debian/CentOS/RedHat при помощи iptables




2522
Проброс портов (port forwarding) в Linux Debian/CentOS/RedHat при помощи iptables
Рейтинг 9 из 10. Голосов: 112
Ваша оценка:
Итак, задача: весь трафик, приходящий на определенный порт внешнего, белого IP адреса нашего роутера пробросить на вполне определенный компьютер внутри локальной сети на серый (внутренний) IP адрес - на тот же порт или другой.

Решать мы это дело будем с помощью iptables - встроенного файервола в Linux.


Вот такие правила позволят нам пробросить весь трафик TCP, приходящий на внешний интерфейс (белый IP) на порт 3389 на внутреннюю машину на тот же порт, ну и выгнать трафик обратно.

iptables -t nat -A PREROUTING -p tcp -m tcp -d 11.22.33.44 --dport 3389 -j DNAT to-destination 192.168.0.1:3389
iptables -t nat -A POSTROUTING -p tcp -m tcp s 192.168.0.1 --sport 3389 -j SNAT to-source 11.22.33.44:3389

Здесь:
  • tcp : Указываем, что мы пробрасываем именно TCP трафик
  • 11.22.33.44 : Это внешний, белый IP адрес
  • 192.168.0.1 : Это внутренний, серый IP - на который пробрасываем
  • 3389 : Это порт, который пробрасываем.


В предыдущем примере мы пробрасывали порт один-в-один. Однако мы можем поступить хитрее. Например, трафик TCP, приходящий на порт 11111 белого IP будет пробрасываться на порт 3389 серого IP (ну и обратно). Вот как этот пример будет выглядеть:

iptables -t nat -A PREROUTING -p tcp -m tcp -d 11.22.33.44 --dport 11111 -j DNAT to-destination 192.168.0.1:3389
iptables -t nat -A POSTROUTING -p tcp -m tcp s 192.168.0.1 --sport 3389 -j SNAT to-source 11.22.33.44:11111

 


Обозначения такие-же.

По подобию делаются пробросы с другими вариантами.

 

Актуально для: Linux Debian 5, 6; CentOS 5, 6; RedHat 5, 6 и других подобных системах
 

Вопросы и ответы

Редактор
2019-05-14 23:57:37
Ошибка в синтаксисе примеров: "to-destination" нужно писать "--to-destination" "tcp s 192.168.0.1" нужно заменить на "tcp -s 192.168.0.1"
Редактор
2019-05-14 23:59:39
Забыл добавить: "to-source" изменить на "--to-source"
Алена
2019-11-17 05:02:02
конечно на роутере проброс легче делать))
Денис
2020-04-08 07:43:23
Спасибо друг! Твой способ мне помог, единственное что мешало это вносить исправления по твоим комментам))))
srgazh
2020-06-04 19:18:01
iptables -t nat -A PREROUTING -p tcp -m tcp -d 109.71.XX.XX --dport 6432 -j DNAT --to-destination 192.168.0.67:6432 iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.0.67 --sport 6432 -j SNAT --to-source 109.71.XX.XX:6432

Оставить комментарий

ответить