Linux安全: iptables端口转发

1. 系统开启路由转发

echo 1 > /proc/sys/net/ipv4/ip_forward

sysctl -p

2. 规则设置

# iptables -t nat -A PREROUTING -p tcp --dport 2201 -j DNAT --to-destination 10.6.1.114:22

# iptables -t nat -A POSTROUTING -p tcp -s 10.6.1.114 --sport 22 -j SNAT --to-source 42.162.6.44:2201

iptables的4个表分别是：

filter（过滤）：数据包过滤/拦截，可以包含INPUT、FORWARD、OUTPUT这3个内置chain。

nat（地址转换）：IP地址或端口号转换，可以包含PREROUTING、OUTPUT、POSTROUTING 3个内置chain，nat table在会话建立时会记录转换的对应关系，同一会话的回包和后续报文会自动地址转换，这是因为nat使用了ip_conntrack模块。

mangle（包管理）：用来修改IP报文，可以包含PREROUTING、OUTPUT、INPUT、FORWARD、POSTROUTING 5个内置chain。

raw：此表的优先级高于ip_conntrack模块和其它的table，主要用于将有会话状态的连接（比如tcp）的数据包排除在会话外。可以包含POSTROUTING、OUTPUT两个内置chain。