使用 iptables 进行基于端口的 NAT

Question 1

您可能需要阅读一些文档，因为 netfilter/iptables 可能很棘手。这里有一些不错的文档，尽管有点过时。

对于您需要执行的操作，您需要在 nat 表中添加一条规则，然后才能到达路由代码，因此需要 PREROUTING。这是因为在路由决策之后，它已经决定该数据包是发往您的路由器而不是真实服务器的。

你需要这样的东西：

# iptables -t nat -A PREROUTING -p tcp --dport 1521 -i eth0 \
  -j DNAT --to 5.6.7.8:1521

将其替换为将接收数据包的机器的 IP 地址。

Answer

您可能需要阅读一些文档，因为 netfilter/iptables 可能很棘手。这里有一些不错的文档，尽管有点过时。

对于您需要执行的操作，您需要在 nat 表中添加一条规则，然后才能到达路由代码，因此需要 PREROUTING。这是因为在路由决策之后，它已经决定该数据包是发往您的路由器而不是真实服务器的。

你需要这样的东西：

# iptables -t nat -A PREROUTING -p tcp --dport 1521 -i eth0 \
  -j DNAT --to 5.6.7.8:1521

将其替换为将接收数据包的机器的 IP 地址。

Question 2

按着这些次序：

在内核中启用IP转发：

echo 1 > /proc/sys/net/ipv4/ip_forward
刷新转发规则：

iptables -F FORWARD
设置只有特定端口从此 LAN IP 范围进行 NAT：

iptables -t nat -A POSTROUTING -o eth0 -s 10.31.0.0/16 -p tcp --dports 1521,8443 MASQUERADE

Answer

按着这些次序：

在内核中启用IP转发：

echo 1 > /proc/sys/net/ipv4/ip_forward
刷新转发规则：

iptables -F FORWARD
设置只有特定端口从此 LAN IP 范围进行 NAT：

iptables -t nat -A POSTROUTING -o eth0 -s 10.31.0.0/16 -p tcp --dports 1521,8443 MASQUERADE

相关内容