将所有传入和传出流量从端口重定向到特定 IP

Question

您的尝试存在一些问题：

usinglocalhost表示连接是从主机发起的，而不是从其他主机路由的。因此它需要OUTPUT链，而不是PREROUTING链，因为最初不涉及路由。
源 IP，127.0.0.1一旦目标更改，源 IP 也必须更改。这需要额外的POSTROUTING规则。可选的-m conntrack --ctstate DNAT匹配将检查第一个匹配OUTPUT是否首先匹配，并且这不是某种欺骗尝试。
至少在Linux上127.0.0.0/8是在路由堆栈中进行特殊处理的，并且数据包将在POSTROUTING规则触发之前被丢弃。要删除特殊处理并允许在块“外部”进行路由127.0.0.0/8，将发生重定向的接口必须具有标志route_localnet设置为 1，否则以上都不够。

由于从问题中无法得知接口，因此从路由中检索接口名称并将其放入变量中。如果需要的话进行调整。您还可以使用all伪接口来设置旗帜全球。

所以最后这归结为（作为 root 或使用sudo）：

iptables -t nat -A OUTPUT -p tcp --dport 9099 -j DNAT --to-destination 172.17.0.2:8080
iptables -t nat -A POSTROUTING -s 127.0.0.0/8 -d 172.17.0.2 -m conntrack --ctstate DNAT -j MASQUERADE
interface=$(ip -o route get 172.17.0.2 | grep -o 'dev [^ ][^ ]*'|sed 's/^dev //')
echo 1 > /proc/sys/net/ipv4/conf/$(interface)/route_localnet

综上所述，您应该尝试使用127.0.0.0/8仍位于主机本地的非地址。这可以简化事情，不需要route_localnet（有时可能不需要额外的POSTROUTING规则）。

Answer 1

您的尝试存在一些问题：

usinglocalhost表示连接是从主机发起的，而不是从其他主机路由的。因此它需要OUTPUT链，而不是PREROUTING链，因为最初不涉及路由。
源 IP，127.0.0.1一旦目标更改，源 IP 也必须更改。这需要额外的POSTROUTING规则。可选的-m conntrack --ctstate DNAT匹配将检查第一个匹配OUTPUT是否首先匹配，并且这不是某种欺骗尝试。
至少在Linux上127.0.0.0/8是在路由堆栈中进行特殊处理的，并且数据包将在POSTROUTING规则触发之前被丢弃。要删除特殊处理并允许在块“外部”进行路由127.0.0.0/8，将发生重定向的接口必须具有标志route_localnet设置为 1，否则以上都不够。

由于从问题中无法得知接口，因此从路由中检索接口名称并将其放入变量中。如果需要的话进行调整。您还可以使用all伪接口来设置旗帜全球。

所以最后这归结为（作为 root 或使用sudo）：

iptables -t nat -A OUTPUT -p tcp --dport 9099 -j DNAT --to-destination 172.17.0.2:8080
iptables -t nat -A POSTROUTING -s 127.0.0.0/8 -d 172.17.0.2 -m conntrack --ctstate DNAT -j MASQUERADE
interface=$(ip -o route get 172.17.0.2 | grep -o 'dev [^ ][^ ]*'|sed 's/^dev //')
echo 1 > /proc/sys/net/ipv4/conf/$(interface)/route_localnet

综上所述，您应该尝试使用127.0.0.0/8仍位于主机本地的非地址。这可以简化事情，不需要route_localnet（有时可能不需要额外的POSTROUTING规则）。

将所有传入和传出流量从端口重定向到特定 IP

答案1

相关内容