Linux实现端口转发，网络转发不再难！ (linux对外做端口转发)

随着互联网技术的不断发展，网络转发已经成为我们日常工作中非常重要的一部分。而在Linux平台上实现端口转发更是让网络转发变得非常便捷和高效。

所谓端口转发，就是指在两个不同的网络之间传输数据时，将数据从一个网络的端口转发到另外一个网络的端口。采用端口转发的方法可以将我们的服务端隐藏在内网中，而不会暴露在外网上。而如果我们不想在外网中直接暴露自己的服务端，那么我们就可以使用端口转发的方法来实现。

Linux平台下有很多工具和软件可以实现端口转发，如iptables，socat、haproxy等。下面就来介绍一下Linux平台下实现端口转发的方法。

iptables实现端口转发

iptables是Linux平台下的一个防火墙工具，也可以用来实现端口转发。我们可以使用iptables来将来自外部网络的请求转发到内部的服务器上。

首先我们需要安装iptables，使用以下命令即可：

sudo apt-get install iptables

安装完成之后，我们就可以开始配置iptables了。下面是一个示例配置：

sudo iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-destination 10.0.0.10:80

上面的命令中，“-t nat”表示对nat表进行操作，“-A PREROUTING”表示在PREROUTING链中添加一条规则，“-p tcp”表示匹配TCP协议，“–dport 80”表示匹配80端口，“-j DNAT”表示进行目标地址转换，“–to-destination 10.0.0.10:80”表示将目标地址转换为10.0.0.10的80端口。

通过上述命令，我们就可以将来自外部网络的请求转发到内部的服务器上。

socat实现端口转发

socat是一个强大的网络工具，可以用来进行端口转发、SOCKET文件操作、SSL通信等。要实现端口转发，我们可以使用socat的TCP-LISTEN选项和TCP连接选项。

下面是一个示例命令：

socat TCP-LISTEN:80,fork TCP:10.0.0.10:80

上面的命令中，“TCP-LISTEN:80”表示监听80端口，“fork”表示将新的连接分离成子进程，“TCP:10.0.0.10:80”表示连接到10.0.0.10的80端口。通过上述命令，我们就可以将来自外部网络的请求转发到内部的服务器上。

haproxy实现端口转发

haproxy是一款高性能的负载均衡软件，可以用来进行端口转发、负载均衡等操作。haproxy可以支持多种协议，包括HTTP、HTTPS、TP等。

下面是一个示例配置：

frontend http-in

bind *:80

default_backend servers

backend servers

server server1 10.0.0.10:80 check

上面的配置中，“frontend http-in”表示监听http协议，“bind *:80”表示绑定到80端口，“default_backend servers”表示将请求转发到servers后端，“backend servers”表示后端服务器组，“server server1 10.0.0.10:80 check”表示添加一个服务器，IP地址为10.0.0.10，端口为80。

通过上述配置，我们就可以将来自外部网络的请求转发到内部的服务器上。

通过以上三种方法，我们就可以在Linux平台下实现端口转发。不同方法的优缺点不同，根据实际需要进行选择。

无论哪种方法，都可以让我们轻松地实现网络转发，将内部服务暴露在外网上，实现更加高效的网络通讯。

相关问题拓展阅读：

• iptables端口复用和端口转发

iptables端口复用和端口转发

端口复用参考： Linux利用iptables做端口复用-Linux实验室 (wanyunshuju.com)

端口转发参考： 使用 iptables 进行端口转发 – 51nb – 博客园 (cnblogs.com)

一台虚拟机：192.168.2.2（私禅拦网ip），8080端口tomcat服务仔伏

一台虚拟机：192.168.3.6（公网ip），192.168.2.10（私网ip），80端口apache服务

1、虚拟机（192.168.3.6）开启转发功能

vim /etc/sysctl.conf

输入 net.ipv4.ip_forward=1

使用命令 sysctl -p 使配置生效

2、添加iptables规则实现端口转发

iptables -t nat -I PREROUTING -i ens36 -d 192.168.3.6 -p tcp –dportj DNAT –to-destination 192.168.2.2:8080

3、转发成功

1、设置iptables规则

iptables -t nat -I PREROUTING -i ens36 -s 192.168.3.3 -d 192.168.3.6 -p tcp –dport 80 -j REDIRECT –to-port 22

2、攻击机192.168.3.3使用XShell对192.168.3.6的80端口进行SSH连接

1、虚拟机（192.168.3.6）开启转发功能

vim /etc/sysctl.conf

输入 net.ipv4.ip_forward=1

使用命令 sysctl -p 使配置生效

2、设置iptables规则，当且仅当192.168.3.3访问时，192.168.3.6的80端口的http服务变成192.168.2.2的22端口（即iptables流量转发）

iptables -t nat -I PREROUTING -i ens36 -s 192.168.3.3 -d 192.168.3.6 -p tcp –dport 80 -j DNAT –to-destination 192.168.2.2:22

3、验证

1）当192.168.3.3进行访问时：

2）当其他ip机器访问时

利用TCP协议做遥控开关，这样攻击方在需要访问http服务的时念袭携候可以及时切换

1、创建端口复用链子

iptables -t nat -N MyChains

2、创建端口复用规则，访问192.168.3.6:80的流量转发至22端口

iptables -t nat -A MyChains -p tcp -j REDIRECT –to-port 22 (如果要转发到其他ip机器，注意需要开启转发功能)

3、设置开启开关，当接收到一个含有”nihao123coming”的TCP包，则将来源IP添加到MyChains的列表中

iptables -A INPUT -p tcp -m string –string “nihao123coming” –algo bm -m recent –set –name MyChains –rsource -j ACCEPT

4、设置关闭开关，如果接收到含有”nihao123leaving”的TCP包，则将来源IP从MyChains的列表中删除

iptables -A INPUT -p tcp -m string –string “nihao123leaving” –algo bm -m recent –name MyChains –remove -j ACCEPT

5、当发现SYN包的来源IP处于MyChains的列表中，将跳转到MyChains链进行处理，有效时间为3600秒

iptables -t nat -A PREROUTING -p tcp –dport 80 –syn -m recent –rcheck –secondsname MyChains –rsource -j MyChains

4、开启复用，开启后发送开启命令的机器到目标80端口的流量将被转发到目标20端口

验证：

5、关闭复用

验证：

linux对外做端口转发的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于linux对外做端口转发,Linux实现端口转发，网络转发不再难！,iptables端口复用和端口转发的信息别忘了在本站进行查找喔。

香港服务器首选树叶云，2H2G首月10元开通。
树叶云（shuyeidc.com）提供简单好用，价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。