IPTables - порт на інший ip & порт (зсередини)

В даний час у мене є блок NAS, який працює під портом 80. Для доступу до NAS зовні, я зіставив порт 8080 на порт 80 в NAS так:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.32.25.2:80

Це працює як шарм. Однак це працює лише в тому випадку, якщо я заходжу на веб-сайт із зовнішньої мережі (на роботі, в іншому будинку тощо). Тож коли я mywebsite.com:8080набираю текст, IPTables виконує роботу правильно, і все працює нормально.

Тепер у мене проблема полягає в тому, як я можу перенаправити цей порт зсередини мережі? Моє доменне ім’я mywebsite.comвказує на мій маршрутизатор (мій сервер Linux) зсередини (10.32.25.1), але я хочу перенаправити порт 8080 на порт 80 10.32.25.2 зсередини.

Якась підказка?

Редагувати №1

Намагаючись полегшити це питання, я склав цю діаграму. Будь ласка, не соромтеся оновити, якщо це невірно або неправильно представлено те, що ви шукаєте.

                                 iptables
                                     |                   .---------------.
    .-,(  ),-.                       v               port 80             |
 .-(          )-.        port 8080________               |               |
(    internet    )------------>[_...__...°]------------->|      NAS      |
 '-(          ).-'     10.32.25.2    ^   10.32.25.1      |               |
     '-.( ).-'                       |                   |               |
                                     |                   '---------------'
                                     |
                                     |
                                   __  _ 
                                  [__]|=|
                                  /::/|_|

Нарешті я знайшов як робити. По-перше, мені довелося додати -i eth1моє правило "зовні" (eth1 - це моє WAN-з'єднання). Мені також потрібно було додати ще два правила. Ось зрештою, що я прийшов:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.32.25.2 --dport 80 -j MASQUERADE

Ви також забули згадати, що переадресація пакунків повинна бути включена, щоб мати можливість виконувати призначення NAT. За замовчуванням зазвичай це вимкнено, тому правила iptables не працюватимуть. Це можна ввімкнути, видавши:

echo 1 > /proc/sys/net/ipv4/ip_forward

Спочатку дозволити переадресацію за допомогою

echo 1 > /proc/sys/net/ipv4/ip_forward

Потім встановіть правила iptable за допомогою

IF=eth1
PORT_FROM=8080
PORT_TO=80
DEST=10.32.25.2
iptables -t nat -A PREROUTING -i $IF -p tcp --dport $PORT_FROM -j DNAT --to $DEST:$PORT_TO
iptables -t nat -A POSTROUTING -p tcp -d $DEST --dport $PORT_TO -j MASQUERADE

Ви можете розмістити ці рядки, /etc/rc.localнаприклад. Примітка: оскільки Debian Джессі робить його виконуваним і включив послугу rc.local через

systemctl enable rc-local.service

Спочатку потрібно переконатися, що переадресація активована:

cat /proc/sys/net/ipv4/ip_forward

Якщо ні 1, бігайте echo 1 > /proc/sys/net/ipv4/ip_forward.

Якщо ви хочете, щоб трафік 10.32.25.1 на портах 80 і 443 пересилався до 80порту 10.32.25.2, тоді слід скористатися наведеним нижче правилом:

iptables -t nat -A PREROUTING -d 10.32.25.1 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.32.25.2:80