iptables端口映射實(shí)例

環(huán)境：

主機(jī)1： IP：192.168.10.25（能訪問(wèn)外網(wǎng)）

            IP：192.168.100.1（網(wǎng)關(guān)） 

主機(jī)2：IP：192.168.100.23（web服務(wù)器）

要求：192.168.10.0/24網(wǎng)段IP能訪問(wèn)web服務(wù)器，web服務(wù)器也能訪問(wèn)外網(wǎng)。

備注：192.168.10.0/24和192.168.100.0/24不能連通。

先設(shè)置主機(jī)2：

配置IP和route

配置主機(jī)2 IP地址：192.168.100.23

查看route的默認(rèn)網(wǎng)關(guān)是否是 192.168.100.1

[root@haproxy02 sysconfig]# route 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   *               255.255.255.0   U     0      0        0 eth2
link-local      *               255.255.0.0     U     1003   0        0 eth2
default         192.168.100.1   0.0.0.0         UG    0      0        0 eth2

如果沒(méi)有設(shè)置 就添加默認(rèn)網(wǎng)關(guān)

route add default gw 192.168.100.1

網(wǎng)關(guān)永久生效：vim /etc/sysconfig/static-routes

any net default gw 192.168.100.1

主機(jī)1配置：

設(shè)置兩個(gè)ip分別分配兩個(gè)網(wǎng)口

eth0：192.168.10.25

eth2：192.168.100.1

route的默認(rèn)網(wǎng)關(guān)是192.168.10.1

default         192.168.10.1    0.0.0.0         UG    0      0        0 eth0

打開(kāi)linux下啟用ip轉(zhuǎn)發(fā)功能

vim /etc/sysctl.conf 

net.ipv4.ip_forward = 1

sysctl -p /etc/sysctl.conf

iptables策略

-A PREROUTING -d 192.168.10.25/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.23 
-A POSTROUTING -s 192.168.100.0/24 -o eth0 -j SNAT --to-source 192.168.10.25 
-A POSTROUTING -d 192.168.100.0/24 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.100.1