Назад | Перейти на главную страницу

Как я могу перенаправить порт HTTP и SSH на мой внутренний сервер с помощью iptables?

У меня нет маршрутизатора, поэтому я превращаю систему Linux в маршрутизатор с CentOS 6.4 для пересылки трафика общедоступной сети в мою локальную локальную сеть. Он имеет две карты NIC. Один для общедоступного IP-адреса (eth1), а другой для частного IP-адреса (eth2).

У меня есть сервер, который подключен к моей локальной сети, предположим, 192.168.1.2.

x.x.x.x - это общедоступный IP-адрес (этот IP-адрес находится на eth1).

Предположим, что IP-адрес маршрутизатора системы Linux 192.168.1.1 (этот IP-адрес находится на eth2).

Я хочу, чтобы кто-то из любой сети из любого места использовал это, т. Е.

ssh x.x..x.x (публичный IP-адрес) или используя PuTTY

он отправится на сервер.

Я отключаю брандмауэр SELinux и iptables на сервере.

Я сделал некоторые модификации Iptables на системном маршрутизаторе Linux, но он переходит к самому себе, который работает как маршрутизатор, а не к главному серверу из другой сети и той же сети.

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.1 --dport 22 -j DNAT --to-destination 192.168.1.2:22

Но это не работает.

И снова я хочу перенаправить весь трафик HTTP (80) на свой внутренний сервер, используя iptables с того же системного маршрутизатора Linux.

Как решить эту проблему?

Прежде всего убедитесь, что в ядре включена пересылка пакетов.

# echo 1 > /proc/sys/net/ipv4/ip_forward

Вы также можете сделать его постоянным, добавив строку ниже в /etc/sysctl.conf

net.ipv4.ip_forward = 1

Вы должны сделать это на Linux Machine, выступающей в качестве маршрутизатора. Вы можете попробовать следующее правило на маршрутизаторе.

iptables -t nat -A PREROUTING -i eth1 -d x.x.x.x -p tcp --dport 22 -j  DNAT --to-destination 192.168.1.2:22

Также сообщите нам вывод ваших правил NAT из коробки маршрутизатора.

iptables -t nat -L -n -v

На основе этого удивительного DigitalOceanруководство о том, как перенаправлять порты, я решил переписать здесь.

Я потратил много часов на изучение того, как это работает ... Я новичок в Linux, и начинать не всегда легко ... Вот пример моих серверов и его переадресации портов:

Сервер межсетевого экрана (2 карты NIC) - сведения о сети:

  • Публичный IP-адрес: xx.xx.xx.xx
  • Частный IP-адрес: гг.гг.гг.гг
  • Публичный интерфейс: eth0
  • Приватный интерфейс: eth1

Внутренний (например, ssh, веб) сервер (1 сетевая карта) - сведения о сети:

  • Частный IP-адрес: zz.zz.zz.zz
  • Приватный интерфейс: eth0

Решение:

Включить пересылку пакетов в ядре:

echo 1 > /proc/sys/net/ipv4/ip_forward

Определите переменные:

# Admin IP address (e.g. public home ip)
ADMIN="aa.aa.aa.aa"

# IP addresses of servers (e.g. in cloud):
FW_eth0_ip="xx.xx.xx.xx"
FW_eth1_ip="yy.yy.yy.yy"
WEB_eth0_ip="zz.zz.zz.zz"

# Services:
SSH="22"
HTTP="80"

Перенаправление портов iptables (с -m conntrack):

iptables -t nat -A PREROUTING -i eth0 -s $ADMIN -d $FW_eth0_ip -p tcp --dport $SSH -j DNAT --to-destination $WEB_eth0_ip
iptables -A FORWARD -i eth0 -o eth1 -p tcp --syn --dport $SSH -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport $SSH -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport $SSH -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport $SSH -d $WEB_eth0_ip -j SNAT --to-source $FW_eth1_ip

Несколько заметок:

  • "..- s $ ADMIN -d $ FW_eth0_ip .." (1-я строка) - добавлено только из соображений безопасности - это означает, что только ADMIN IP может получить доступ к SSH (если он не нужен, вы можете удалить его)
  • -m conntrack такой же как -м состояние
  • Я рекомендую изменить порт SSH по умолчанию на другой порт, например 1xxxx (в / etc / ssh / sshd_config)
  • чек Список номеров портов TCP и UDP
  • Я использую порт 15xx1 для доступа к SSH на сервере брандмауэра, а 15xxx2 - для внутреннего доступа.

Терминал:

# access firewall server
$ ssh sancro@xx.xx.xx.xx -p 15xx1

# access internal server
$ ssh sancro@xx.xx.xx.xx -p 15xx2

Более подробная информация об используемых правилах подробно описана в упомянутом руководстве.

Это все от меня, надеюсь, это вам поможет.

Прежде всего, включите маршрутизацию в шлюзе Linux:

echo 1 > /proc/sys/net/ipv4/ip_forward

Затем добавьте следующие правила с вашим сетевым интерфейсом (например, eth1) и желаемыми портами:

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.2
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 22 -j DNAT --to 192.168.1.2
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Проверьте свои правила с iptables -L -v, столбцы pkts и bytes покажут вам, какие правила соблюдаются.

Хотя этот вопрос касается iptables, если у вас также работает FirewallD, вот как получить доступ к HTTP внутренней сети.

Сначала разрешите http-трафик на вашем внутреннем сервере FirewallD:

# firewall-cmd --permanent --add-service=http

Затем перенаправьте http-трафик с внешнего IP-адреса на порт 80 внутреннего IP-адреса:

# firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=10.0.0.11

То же самое можно сделать и для службы SSH.