IPTables - पोर्ट से दूसरे IP और पोर्ट (अंदर से)

वर्तमान में मेरे पास एक NAS बॉक्स है जो पोर्ट 80 के नीचे चल रहा है। NAS को बाहर से एक्सेस करने के लिए, मैंने NAS पर पोर्ट 8080 को पोर्ट 80 पर मैप किया।

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.32.25.2:80

यह एक आकर्षण की तरह काम कर रहा है। हालाँकि, यह तभी काम कर रहा है जब मैं नेटवर्क के बाहर से वेबसाइट का उपयोग कर रहा हूं (काम पर, अलग घर में, आदि)। इसलिए जब मैं टाइप करता हूं mywebsite.com:8080, तो IPTables सही तरीके से काम करता है और सब कुछ ठीक चल रहा है।

अब, मेरे पास जो समस्या है, मैं इस पोर्ट को नेटवर्क के अंदर से रीडायरेक्ट कैसे कर सकता हूं? मेरा डोमेन नाम mywebsite.comमेरे राउटर (मेरा लिनक्स सर्वर) को अंदर से (10.32.25.1) तक इंगित करता है, लेकिन मैं अंदर से 10.32.25.2 पर पोर्ट 8080 को पोर्ट 80 पर पुनर्निर्देशित करना चाहता हूं।

कोई सुराग?

# 1 संपादित करें

इस प्रश्न को सुविधाजनक बनाने में मदद करने का प्रयास मैंने इस आरेख को एक साथ रखा। कृपया गलत होने पर अपडेट करने के लिए स्वतंत्र महसूस करें या आप जो खोज रहे हैं उसे गलत तरीके से प्रस्तुत करें।

                                 iptables
                                     |                   .---------------.
    .-,(  ),-.                       v               port 80             |
 .-(          )-.        port 8080________               |               |
(    internet    )------------>[_...__...°]------------->|      NAS      |
 '-(          ).-'     10.32.25.2    ^   10.32.25.1      |               |
     '-.( ).-'                       |                   |               |
                                     |                   '---------------'
                                     |
                                     |
                                   __  _ 
                                  [__]|=|
                                  /::/|_|

मैंने आखिरकार कैसे-कैसे पाया। सबसे पहले, मुझे -i eth1अपने "बाहर" नियम से जोड़ना था (eth1 मेरा WAN कनेक्शन है)। मुझे दो अन्य नियमों को जोड़ने की भी आवश्यकता थी। यहाँ अंत में मैं क्या लेकर आया:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.32.25.2 --dport 80 -j MASQUERADE

आप यह भी उल्लेख करना भूल गए कि पैकेज अग्रेषण को गंतव्य NAT पर प्रदर्शन करने में सक्षम होना चाहिए। डिफ़ॉल्ट रूप से, यह आमतौर पर बंद होता है, इसलिए iptables नियम काम नहीं करेंगे। इसे जारी करके सक्षम किया जा सकता है:

echo 1 > /proc/sys/net/ipv4/ip_forward

पहले साथ देने की अनुमति दें

echo 1 > /proc/sys/net/ipv4/ip_forward

फिर के साथ iptable नियम सेट करें

IF=eth1
PORT_FROM=8080
PORT_TO=80
DEST=10.32.25.2
iptables -t nat -A PREROUTING -i $IF -p tcp --dport $PORT_FROM -j DNAT --to $DEST:$PORT_TO
iptables -t nat -A POSTROUTING -p tcp -d $DEST --dport $PORT_TO -j MASQUERADE

आप इन पंक्तियों को /etc/rc.localउदाहरण के लिए रख सकते हैं । नोट: चूंकि डेबियन जेसी इसे निष्पादन योग्य बनाते हैं और इसके माध्यम से r.local सेवा को सक्षम करते हैं

systemctl enable rc-local.service

पहले आपको यह सत्यापित करने की आवश्यकता है कि आपके पास अग्रेषण सक्रिय है:

cat /proc/sys/net/ipv4/ip_forward

यदि नहीं 1, तो दौड़ें echo 1 > /proc/sys/net/ipv4/ip_forward।

अगर आप चाहते हैं कि पोर्ट 80 और 443 पर 10.32.25.1 से टकराने वाले ट्रैफिक को 10.32.25.2 के 80पोर्ट पर भेजा जाए तो आपको नीचे दिए गए नियम का उपयोग करना चाहिए:

iptables -t nat -A PREROUTING -d 10.32.25.1 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.32.25.2:80