请教kevin老师一个端口映射的问题

vincent.shan

一台在公网上的linux服务器(无内网连接),外网需要监听一个80端口的应用程序,但由于80端口非root用户无法启动,因此想将应用程序的端口改成任意端口,如:8999,但是在外网监听还是80端口.用iptables语句如何实现?

kissingwolf

iptables -t nat -A  PREROUTING  -i $ETHERNET -p tcp  --dport  $S_PORT -j DNAT --to-destination $D_IPD_PORT

$ETHERNET  你用来接收包的设备名
$S_PORT   你用来接收包的源端口
$D_IP    目标IP
$D_PORT 目标端口

vincent.shan

$D_IP 目标IP
$D_PORT 目标端口

这里的目标ip是指我机器的公网ip(就一个ip一块网卡eth0)还是指监听人的公网ip:80?

kevin.tan

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination $D_IP:8999

# D_ip 当然是指你机器的IP（即公网的IP）；

BTW，另外，问一下kevin老师，上面的规则可不可以这样写呀?

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination eth0:8999

即将$D_IP用eth0代替

vincent.shan

试过可以了 本以为这种端口映射可以在 netstart -nlp 中看到~~~
多谢两位kevin ^^

kissingwolf

Post by kevin.tan
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination $D_IP:8999

# D_ip 当然是指你机器的IP（即公网的IP）；

BTW，另外，问一下kevin老师，上面的规则可不可以这样写呀?

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination eth0:8999

即将$D_IP用eth0代替

不可以！除非你在/etc/hosts里定义了eth0的ip指向！：-）
iptables 的man里标准策略是 --to-destination ipaddr[-ipaddr][:port-port]
ipaddr是必须的！

kevin.tan

谢谢kevin老师：）

刚才man了一下，真强，竟然可以指定IP和端口范围：）

vincent.shan

--to-destination 后面是不可以跟网卡地址di^^
不过--dport后面应该跟的是80 好像大家都错了
另外一个同事给了我一条更好的语句以供大家参考,两条语句都测试过,均可实现目标

#-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 211.***.***.***:15290
#-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 15290