是的，我已经搜索了互联网并阅读了大多数流行的 IPTables/DNAT 指南/页面/帖子。

我的问题

概括 我有一个包含多个子网的 VPC。其中一个子网特别需要 EIP 才能连接互联网。我有一个 Web 服务器位于此子网中。我需要从在后面一个 nat（也在同一个子网中，有一个 EIP）。我试图设置我的 NAT，以便传入发往某个端口的数据包被发送到不同的主机（本质上我需要 DNAT）

第 1 部分：在 VPC 中：

我已通过 WAN 可访问的 SSH 代理通过 SSH 连接到我的 NAT 实例。这是 amazon NAT 实例附带的默认 IPTables。没什么特别的，只是一条 POSTROUTE 规则，正如预期的那样。NAT 实例只有一接口；eth0（和 lo，但我们假装它不存在）

[root@IP_NAT ec2-user]# iptables -t nat -L --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination     

好的。现在让我们添加两个端口转发，这样我的 Web 服务器就可以在 NAT 后面访问

[root@IP_NAT ec2-user]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination IP_WEBSERVER:80
[root@IP_NAT ec2-user]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination IP_WEBSERVER:443

好了！该检查一下我的工作了：

[root@IP_NAT ec2-user]# iptables -t nat -L --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  anywhere             anywhere             tcp dpt:http to:IP_WEBSERVER:80
2    DNAT       tcp  --  anywhere             anywhere             tcp dpt:https to:IP_WEBSERVER:443

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    MASQUERADE  all  --  ip-10-0-0-0.us-west-1.compute.internal/16  anywhere  

所以，一切看起来应该可以正常工作。但事实并非如此。:(。我可以在 nat 和 web 服务器之间随心所欲地使用 wget / telnet / ping / ssh。我可以在一些端口连接到我的 NAT，但其他端口只是超时。我有三倍检查管理 NAT 实例的 AWS 安全组是否允许正确的端口进出。出于测试目的，我允许全部所有端口的进出流量。我仍然遇到同样的问题。

网络服务器在其任何日志上均未显示任何活动。

以下是我的一些输出当地的机器显示了整天困扰我的事情：

LOCAL_USER@LOCAL_HOST:~$ telnet AWS_EIP 443
Trying AWS_EIP...
^C                (time out, here)
LOCAL_USER@LOCAL_HOST:~$ telnet AWS_EIP 80
Trying AWS_EIP...
^C                (time out, here)
LOCAL_USER@LOCAL_HOST:~$ telnet AWS_EIP 22
Trying AWS_EIP...
Connected to AWS_EIP.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2
asd
Protocol mismatch.
Connection closed by foreign host.

因此，当我尝试在端口 22 上打开 TCP 连接时，一切都立即生效。为什么我的 nat 没有“监听”端口 443 或 80，尽管 iptables 明确允许这些端口上的流量？

最后一点有用的信息是 sysctl.conf 文件：

[root@IP_NAT ec2-user]# cat /etc/sysctl.conf 

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 1

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1

有没有想过为什么数据包甚至没有到达我的网络服务器？