温馨提示×

登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

debian防火墙端口转发怎么弄

小樊
34
2025-11-17 11:46:30
栏目: 智能运维

Debian 防火墙端口转发实操指南

一、前置准备

  • 开启内核转发(IPv4):
    • 临时生效:echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
    • 永久生效:在 /etc/sysctl.conf 添加 net.ipv4.ip_forward=1,然后执行 sudo sysctl -p
  • 选择工具:Debian 常见为 iptables/nftablesfirewalld。若使用 firewalld,需先安装并启动:sudo apt-get update && sudo apt-get install -y firewalld && sudo systemctl enable --now firewalld

二、使用 iptables 进行端口转发(通用、稳定)

  • 场景A 本机监听端口转发到后端主机(DNAT)
    • 将本机 8080/TCP 转发到 192.168.1.100:80/TCP
      sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
sudo iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 80 -j MASQUERADE
sudo iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  • 场景B 本机作为网关/NAT,转发到外部主机
    • 将本机 8080/TCP 转发到外部 203.0.113.10:80/TCP
      sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 203.0.113.10:80
sudo iptables -t nat -A POSTROUTING -j MASQUERADE
  • 持久化与验证
    • 持久化(Debian 常用 iptables-persistent):
      sudo apt-get install -y iptables-persistent
sudo netfilter-persistent save    # 或:sudo iptables-save > /etc/iptables/rules.v4
sudo netfilter-persistent reload
    • 验证:
      sudo iptables -t nat -L -v -n
sudo iptables -L -v -n

说明:PREROUTING 做目标地址转换(DNAT),POSTROUTING 做源地址伪装(MASQUERADE),FORWARD 放行转发流量。

三、使用 firewalld 进行端口转发(动态管理)

  • 启用转发与伪装(masquerade)
    sudo firewall-cmd --permanent --add-masquerade
  • 添加端口转发规则(示例:本地 12345/TCP192.168.1.100:80/TCP
    sudo firewall-cmd --permanent --add-forward-port=port=12345:proto=tcp:toaddr=192.168.1.100:toport=80
    如需同时支持 UDP,再添加一条 proto=udp 的规则。
  • 应用并验证
    sudo firewall-cmd --reload
sudo firewall-cmd --list-forward-ports
sudo firewall-cmd --query-masquerade

提示:firewalld 会自动处理 NAT 与转发所需的基础规则,适合需要动态变更的场景。

四、常见问题与排查

  • 已添加规则但访问不通
    • 确认内核转发已开启:cat /proc/sys/net/ipv4/ip_forward 应为 1
    • 检查本机/上游防火墙是否放行对应端口(如 8080/TCP12345/TCP)。
    • 确认后端服务在目标主机监听正确端口与地址(如 ss -ltnp | grep :80)。
    • 查看 NAT/转发链是否命中:sudo iptables -t nat -L -v -nsudo iptables -L FORWARD -v -n
  • 本机访问自身公网 IP 的转发不生效
    • 多数情况下需额外添加 OUTPUT 链规则(DNAT 对本机发出的包不生效):
      sudo iptables -t nat -A OUTPUT -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
  • IPv6 转发
    • 开启转发:echo 1 | sudo tee /proc/sys/net/ipv6/conf/all/forwarding
    • 规则使用 ip6tables,思路与 IPv4 一致(DNAT/POSTROUTING 等)。

0

最新问答

相关问答

相关标签

云服务器 mysql python3 windows linux nginx ubuntu centos openssl docker vscode nvidia virtualbox debian FreeBSD Systemd AppArmor ftp端口 ubuntu18.04 动态sql
产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529