iptables端口转发设置方法详细步骤教程

在iptables中设置端口转发

想在iptables里搞定端口转发？这事儿其实没想象中那么复杂。核心就两样东西：PREROUTING链和DNAT目标。下面咱们就一步步拆解，把整个过程捋清楚。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

1. 确保iptables已安装

第一步，当然是确认你的“工具箱”里有没有iptables。虽然绝大多数Linux发行版都默认装好了，但稳妥起见，还是检查一下。如果真没有，用下面这条命令就能轻松装上：

sudo apt-get install iptables # Debian/Ubuntu
sudo yum install iptables # CentOS/RHEL

2. 设置端口转发规则

好了，工具在手，现在来干正事。假设你有个常见的需求：把外部访问的8080端口，转发到内网一台IP为192.168.1.100的服务器的80端口上。怎么实现？一条命令就够了：

sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80

这条命令看着参数不少，别慌，咱们拆开看：

• -t nat：指定操作的是NAT表，端口转发就得用它。
• -A PREROUTING：在PREROUTING链里追加一条规则，这是数据包进来后最先经过的地方。
• -p tcp：指定协议是TCP，咱们转发的Web服务通常都跑在TCP上。
• --dport 8080：目标端口是8080，意思是所有发往本机8080端口的包都归这条规则管。
• -j DNAT：执行的动作是DNAT，也就是目标地址转换，这是转发的核心。
• --to-destination 192.168.1.100:80：最终目的地，数据包会被重定向到这个地址和端口。

3. 允许转发流量

规则加好了，但先别急。数据包改了地址之后，还得经过FORWARD链的“安检”才能去往内网。所以，我们得在FORWARD链上开个“绿灯”：

sudo iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT

这条命令的意思是：允许那些目标是192.168.1.100的80端口的TCP数据包被转发。少了这一步，流量可能在半路就被丢弃。

4. 保存iptables规则

这里有个新手常踩的坑：用命令添加的规则只是临时生效，机器一重启就没了。所以，做完测试确认没问题后，务必记得保存。不同系统保存方法略有不同：

Debian/Ubuntu

sudo iptables-sa ve > /etc/iptables/rules.v4

CentOS/RHEL

sudo service iptables sa ve

如果你的系统用的是firewalld（比如新版的CentOS），那可能需要用这个命令来保存运行时配置：

sudo firewall-cmd --runtime-to-permanent

5. 验证规则

配置完，怎么知道成没成功？用下面这两条命令看一眼最直观：

sudo iptables -t nat -L -v -n
sudo iptables -L -v -n

第一条查看NAT表的详细规则，重点确认你的DNAT规则在不在。第二条查看FILTER表的规则，确认FORWARD链的放行规则是否生效。输出里找到你刚加的规则，就大功告成了。

注意事项

最后，再啰嗦几个关键点，能帮你避开不少麻烦：

• 操作iptables需要root权限，记得用sudo。
• 在生产环境，强烈建议把规则收严。比如，在DNAT规则里加上-s参数，只允许特定来源IP的流量转发，安全性会高得多。
• 别忘了，如果服务器跑在云上（比如AWS、阿里云），光配置iptables可能还不够。云平台的安全组或网络ACL相当于最外层的防火墙，那里面的规则也得相应放行8080端口的入站流量。

按照上面这个流程走一遍，在iptables里设置端口转发，基本就十拿九稳了。