什么可以解释我的端口转发不起作用？

Question

如果您的默认转发策略是 DROP，那么您还需要接受流量返回：

iptables -A FORWARD -p tcp -s 1.2.3.4 --sport 443 -j ACCEPT

您应该稍微保护一下，这样如果您的盒子 1.2.3.4 受到威胁，至少没有伪造的数据包可以使用源端口 443 通过您的网关。

IPTABLES=/sbin/iptables
[ ... ]
$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j DNAT --to 1.2.3.4:443
$IPTABLES -I FORWARD -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A FORWARD -p tcp -d 1.2.3.4 --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 1.2.3.4 --sport 443 -m state --state ESTABLISHED -j ACCEPT

Answer 1

如果您的默认转发策略是 DROP，那么您还需要接受流量返回：

iptables -A FORWARD -p tcp -s 1.2.3.4 --sport 443 -j ACCEPT

您应该稍微保护一下，这样如果您的盒子 1.2.3.4 受到威胁，至少没有伪造的数据包可以使用源端口 443 通过您的网关。

IPTABLES=/sbin/iptables
[ ... ]
$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j DNAT --to 1.2.3.4:443
$IPTABLES -I FORWARD -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A FORWARD -p tcp -d 1.2.3.4 --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p tcp -s 1.2.3.4 --sport 443 -m state --state ESTABLISHED -j ACCEPT

什么可以解释我的端口转发不起作用？

答案1

相关内容