IPTables - พอร์ตไปยัง ip & พอร์ตอื่น (จากด้านใน)

ขณะนี้ฉันมีกล่อง NAS ที่ทำงานภายใต้พอร์ต 80 ในการเข้าถึง NAS จากภายนอกฉันได้แมปพอร์ต 8080 กับพอร์ต 80 บน NAS ดังต่อไปนี้:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.32.25.2:80

มันใช้งานได้อย่างมีเสน่ห์ อย่างไรก็ตามสิ่งนี้ใช้ได้เฉพาะเมื่อฉันเข้าถึงเว็บไซต์จากนอกเครือข่าย (ที่ทำงานที่บ้านที่แตกต่างกัน ฯลฯ ) ดังนั้นเมื่อฉันพิมพ์mywebsite.com:8080, IPTables ทำงานได้อย่างถูกต้องและทุกอย่างทำงานได้ดี

ตอนนี้ปัญหาที่ฉันมีคือฉันจะเปลี่ยนเส้นทางพอร์ตนี้จากภายในเครือข่ายได้อย่างไร ชื่อโดเมนของฉันmywebsite.comชี้ไปที่เราเตอร์ของฉัน (เซิร์ฟเวอร์ linux ของฉัน) จากด้านใน (10.32.25.1) แต่ฉันต้องการเปลี่ยนเส้นทางพอร์ต 8080 ไปยังพอร์ต 80 บน 10.32.25.2 จากด้านใน

เบาะแสใด ๆ

แก้ไข # 1

ความพยายามที่จะช่วยอำนวยความสะดวกให้กับคำถามนี้ฉันได้รวบรวมแผนภาพนี้ไว้ด้วยกัน โปรดอัปเดตหากไม่ถูกต้องหรือแสดงสิ่งที่คุณต้องการอย่างผิด ๆ

                                 iptables
                                     |                   .---------------.
    .-,(  ),-.                       v               port 80             |
 .-(          )-.        port 8080________               |               |
(    internet    )------------>[_...__...°]------------->|      NAS      |
 '-(          ).-'     10.32.25.2    ^   10.32.25.1      |               |
     '-.( ).-'                       |                   |               |
                                     |                   '---------------'
                                     |
                                     |
                                   __  _ 
                                  [__]|=|
                                  /::/|_|

ในที่สุดฉันก็พบวิธีการ ก่อนอื่นฉันต้องเพิ่ม-i eth1กฎ "ภายนอก" (eth1 คือการเชื่อมต่อ WAN ของฉัน) ฉันต้องเพิ่มกฎอีกสองข้อ ในที่สุดสิ่งที่ฉันมาพร้อมกับ:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.32.25.2 --dport 80 -j MASQUERADE

คุณลืมที่จะพูดถึงว่าควรเปิดใช้การส่งต่อแพคเกจเพื่อให้สามารถดำเนินการ NAT ปลายทางได้ โดยปกติจะปิดอยู่ดังนั้นกฎ iptables จะไม่ทำงาน มันสามารถเปิดใช้งานโดยการออก:

echo 1 > /proc/sys/net/ipv4/ip_forward

ก่อนอื่นให้ส่งต่อด้วย

echo 1 > /proc/sys/net/ipv4/ip_forward

จากนั้นตั้งค่ากฎ iptable ด้วย

IF=eth1
PORT_FROM=8080
PORT_TO=80
DEST=10.32.25.2
iptables -t nat -A PREROUTING -i $IF -p tcp --dport $PORT_FROM -j DNAT --to $DEST:$PORT_TO
iptables -t nat -A POSTROUTING -p tcp -d $DEST --dport $PORT_TO -j MASQUERADE

คุณสามารถใส่บรรทัดเหล่านี้เป็น/etc/rc.localตัวอย่างได้ หมายเหตุ: เนื่องจาก Debian jessie ทำให้สามารถเรียกใช้และเปิดใช้งานบริการ rc.local ผ่าน

systemctl enable rc-local.service

ก่อนอื่นคุณต้องยืนยันว่าคุณเปิดใช้งานการส่งต่อ:

cat /proc/sys/net/ipv4/ip_forward

ถ้าไม่ได้วิ่ง1echo 1 > /proc/sys/net/ipv4/ip_forward

หากคุณต้องการรับส่งข้อมูลปริมาณการรับส่งข้อมูล 10.32.25.1 บนพอร์ต 80 และ 443 จะถูกส่งต่อไปยัง 80 พอร์ตของ 10.32.25.2 คุณควรใช้กฎด้านล่าง:

iptables -t nat -A PREROUTING -d 10.32.25.1 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.32.25.2:80