Linux下实现内网转发的方法 (linux内网转发)

随着互联网的发展和普及，在我们的日常生活中，越来越多的设备和系统需要连接到网络中。对于企业内部来说，内网连接不仅仅是一个必须的需求，同时也是保持信息安全和提高工作效率的重要因素。然而，在许多情况下，我们需要将内网中的某些服务或数据暴露在公网中，这就需要实现内网转发。在本文中，我们将介绍。

一、什么是内网转发

内网转发，指的是将内网中的某个节点或服务（比如Web服务或FTP服务）映射到公网中，以实现内网节点或服务对外提供访问的功能。内网节点可以是一个IP地址，也可以是一组IP地址；内网服务可以是一个端口号，也可以是一组端口号。

二、内网转发的作用

内网转发可以帮助企业实现一些实用的应用场景，例如：

1、实现内部服务对外提供访问。企业内部可能部署了许多服务，这些服务仅对内部员工开放，而对外则无法访问。通过内网转发，我们可以将需要对外提供访问的服务映射到公网中。

2、实现跨区域服务。企业在全球范围内部署的服务，可能需要跨越多个区域进行调用，此时如果可以使用内网转发，可以大大提高服务响应速度和稳定性。

3、实现内网安全管控。通过合理配置内网转发规则，可以在内网和外网之间建立严密的访问控制机制，防止黑客攻击和非法访问行为。

三、

1、使用iptables实现端口转发

iptables是Linux操作系统中的一个非常强大的防火墙应用，它可以实现多种防火墙规则管理，并可以作为内网转发服务的一种实现方式。具体操作步骤如下：

（1）使用iptables创建一个PREROUTING规则来捕获所有到达公网IP地址的数据包，将数据包重新打包并重定向到内网的目标IP地址和端口号

# iptables -t nat -A PREROUTING -p tcp -d 公网IP地址 –dport 公网端口号 -j DNAT –to-destination 内网IP地址 : 内网端口号

（2）使用iptables创建一个POSTROUTING规则，将内网节点返回的数据包重新打包并重定向回公网IP地址和端口号

# iptables -t nat -A POSTROUTING -p tcp -d 内网IP地址 –dport 内网端口号 -j SNAT –to-source 公网IP地址 : 公网端口号

（3）启动防火墙服务

# service iptables start

2、使用socat实现端口转发

socat是一款开源的网络工具，可以为不同类型的网络应用程序提供基于连接的简单网络服务。socat具有多种模式，其中包括端口转发模式，可以通过socat实现内网转发功能。具体操作步骤如下：

（1）安装socat工具

# yum install -y socat

（2）启动socat模式服务，将公网IP地址和端口号转发到内网IP地址和端口号

# socat tcp4-listen: 公网端口号 ,fork tcp4: 内网IP地址 : 内网端口号

3、使用ssh实现隧道端口转发

ssh是一款协议安全可靠的远程登陆工具，ssh可以通过ssh隧道实现内网转发。具体操作步骤如下：

（1）启动ssh隧道

# ssh -f -N -L 公网端口号 : 内网IP地址 : 内网端口号 用户名@公网IP地址 -p SSH端口号

（2）验证ssh建立隧道成功

# ps -ef | grep ssh

至此，我们介绍了Linux下实现内网转发的几种方法，包括使用iptables实现端口转发、使用socat实现端口转发以及使用ssh实现隧道端口转发。这些方法各有优劣，在实际使用过程中需要根据具体场景进行选择。无论采用哪种方法，实现内网转发都需要注意安全性和合法性，不能滥用内网转发功能。

相关问题拓展阅读：

• linux防火墙,要求网关防火墙关闭转发功能,并且只实现内网主机可以访问web服务器
• linux iptables 做内网访问规则，怎么做？

linux防火墙,要求网关防火墙关闭转发功能,并且只实现内网主机可以访问web服务器

linux下要使用iptables限制只有指定的ip才能访问本机则需孙纯要先设置一个默认的规则

iptables有默认的规则，它可以适用于所有的访问

因为只有指定或特定的ip地址才能访问本机

所以可以将默认的规则设置为所有访问全部阻止（当然这里需要注意下，如果你要设置的机器是在远端，比如vps则需要注意在设置默认规则的同时要将与该服务器链接的ip添加进白名单，否则在设置完默认阻止后你也无法访问这台服务器，也无法再进行操作了，我们可以使用分号;或者&&来在同一个命令行下来完成默认阻止和将自己的ip添加进白名单，假如你的ip地址为1.2.3.4则可以这样输入iptables -P INPUT DROP;iptables -A INPUT -s 1.2.3.4 -p tcp -j ACCEPT，或者也可以指定一个端口)

设置默认规则后则可以添配凯型加白名单了

比如允许2.3.4.5访问则可以

iptables -A INPUT -s 2.3.4.5 -p tcp -j ACCEPT

如果要限定的不是整个服务器而只是该服务器中的某个服务

比如web服务（一般端口在80，https在443）

则我们可以使用0.0.0.0/0来阻止所有的ip地址

比如培猜

iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 80 -j DROP

以及

iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 443 -j DROP

来阻止所有访问web服务器的ip地址

然后再添加指定的ip到白名单

比如添加1.2.3.4，我们可以

iptables -A INPUT -s 1.2.3.4 -p tcp –dport 80 -j ACCEPT

如果我们允许某个网段下的所有ip都可以访问的话比如1.2.3.，我们可以

iptables -A INPUT -s 1.2.3.0/24 -p tcp –dport -j ACCEPT

总之不管是阻止所有的服务还是只阻止指定的服务

我们可以先将默认的规则设置为所有ip都不可访问

linux iptables 做内网访问规则，怎么做？

把最后一条改成

iptables -P FORWARD DROP

试试

行了，应该在/etc/network/下子文件夹中的某个配置文件，但是事实上，因为linux有防火墙，所以事实上需要在防火墙的forward链上做转发，因为数据包是先碰到防火墙过滤后才进入内核空间，如果在防火墙转发，那个设置内核的端口转发就没什么意义了。

补充回答：

声明：本人主要使用的是debian系统，对于红帽不是非常熟悉，所以在配置文件的路径及命名上和你的实际情况会有出入，请酌情更改！！

首先，你需要更改/etc/sysctl.conf这个文件，找到如下行：

net.ipv4.ip_forward = 0

把0改成1打开内核转发，然后用source命令重读该配置文件。

然后你需要用以下命令打开forward链上所有的转发，这里只给你简单的实现forward，并没实现保护LAN的防火墙功能，请参阅参考资料获得iptables的详细配置方法！

iptables -A FORWARD -i eth1 -j ACCEPT

iptables -A FORWARD -o eth1 -j ACCEPT

service iptables save

service iptables restart

附注：

man iptables

命令格式：

# iptables 命令

说明：⑴ -t 表名 指定规则所在的表。表名可以是 filter ,nat ,mangle (小写)

⑵ 命令 （iptables的子命令）

-A在指定链中添加规则

-D在指定链中删除指定规则

-R修改指定链中指定规则

-I在指定规则前插入规则

-L显示链中的规则

-N建立用户链

-F清空链中的规则

-X删除用户自定义链

-P设置链的默认规则

-C用具体的规则链来检查在规则中的数据包

-h显示帮助

⑶ 条件

–i 接口名指定接收数据包接口

-o 接口名指定发送数据包接口

-p 协议名指定匹配的协议 (tcp , udp , icmp , all )

-s ip地址 指定匹配的源地址

–sport 端口号 指定匹配的源端口或范围

-d ip地址 指定匹配的目标地址

–dport 端口号 指定匹配的目标端口或范围

–icmp –type 类型号/类型名指定icmp包的类型

注：8 表示request表示relay （应答）

-m port –multiport指定多个匹配端口

limit –limit指定传输速度

mac –mac-source指定匹配MAC地址

sate –state NEW,ESTABLISHED,RELATED,INVALID 指定包的状态

注：以上选项用于定义扩展规则

-j 规则指定规则的处理方法

⑷ 规则

ACCEPT ：接受匹配条件的数据包（应用于I NPUT ,OUTPUT ,FORWARD ）

DROP ：丢弃匹配的数据包（应用于INPUT ,OUTPUT ,FORWARD ）

REJECT ：丢弃匹配的数据包且返回确认的数据包

MASQUERADE ：伪装数据包的源地址（应用于POSTROUTING且外网地址

为动态地址，作用于NAT ）

REDIRECT ：包重定向 （作用于NAT表中PREROUTING ,OUTPUT,使用要加上–to-port 端口号 ）

TOS： 设置数据包的TOS字段（应用于MANGLE,要加上–set-tos 值）

SNAT： 伪装数据包的源地址（应用于NAT表中POSTROUTING链，要加上–to-source ip地址 ）

DNAT： 伪装数据包的目标地址（应用于NAT表中PREROUTING链，要加上–to-destination ip地址 ）

LOG：使用syslog记录的日志

RETURN ：直接跳出当前规则链

3． iptables子命令的使用实例

⑴ 添加规则

#iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.3 –j DROP

(拒绝192.168.0.3主机发送icmp请求)

# iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.0/24 –j DROP

(拒绝192.168.0.0网段ping 防火墙主机，但允许防火墙主机ping 其他主机)

# iptables –A OUTPUT –p icmp –-icmp-type 0 –d 192.168.0.0/24 –j DROP

(拒绝防火墙主机向192.168.0.0网段发送icmp应答，等同于上一条指令)

# iptables –A FORWARD –d -j DROP

(拒绝转发数据包到,前提是必须被解析)

# iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j SNAT –-to-source 211.162.11.1

(NAT，伪装内网192.168.0.0网段的的主机地址为外网211.162.11.1,这个公有地址，使内网通过NAT上网，前提是启用了路由转发)

# iptables –t nat –A PREROUTING –p tcp –dport 80 –d 211.162.11.1 –j DNAT -–to-destination 192.168.0.5

(把internet上通过80端口访问211.168.11.1的请求伪装到内网192.168.0.5这台WEB服务器，即在iptables中发布WEB服务器，前提是启用路由转发)

# iptables –A FORWARD –s 192.168.0.4 –m mac –mac-source 00:E0:4C:45:3A:38 –j ACCEPT

(保留IP地址，绑定 IP地址与MAC地址)

⑵删除规则

# iptables –D INPUT 3

# iptables –t nat –D OUTPUT –d 192.168.0.3 –j ACCEPT

⑶插入规则

# iptables –I FORWARD 3 –s 192.168.0.3 –j DROP

# iptables –t nat –I POSTROUTING 2 –s 192.168.0.0/24 –j DROP

⑷修改规则

# iptables –R INPUT 1 –s 192.168.0.2 –j DROP

⑸显示规则

# iptables –L (默认表中的所有规则)

# iptables –t nat –L POSTROUTING

⑹清空规则

# iptables –F

# iptables –t nat –F PREROUTING

⑺设置默认规则

# iptables –P INPUT ACCEPT

# iptables –t nat –P OUTPUT DROP

(注：默认规则可以设置为拒绝所有数据包通过，然后通过规则使允许的数据包通过，这种防火墙称为堡垒防火墙，它安全级别高，但不容易实现；也可以把默认规则设置为允许所有数据包通过，即鱼网防火墙，它的安全级别低，实用性较差。）

⑻建立自定义链

# iptables –N wangkai

⑼删除自定义链

# iptables –X wangkai

⑽应用自定义链

# iptables –A wangkai –s 192.168.0.8 –j DROP

# iptables –A INPUT –j wangkai

(注：要删除自定义链，必须要确保该链不被引用,而且该链必须为空，如要删除上例定义的自定义链方法为：

# iptables –D INPUT –j wangkai

# iptables -F wangkai

# iptables -X wangkai

另外,团IDC网上有许多产品团购,便宜有口碑

iptables -P FORWARD ACCEPT

iptables -t filter -A FORWARD -i eth0 -p tcp –dport 25 -j ACCEPT

iptables -t filter -A FORWARD -i eth0 -p tcp –dport 110 -j ACCEPT

iptables -t filter -A FORWARD -i eth0 -p tcp –dport 80 -j ACCEPT

iptables -t filter -A FORWARD -i eth0 -p tcp –dport 53 -j ACCEPT

iptables -t filter -A FORWARD -I eth0 -j DROP

关于linux内网转发的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。