为 Cisco ASA 5510 上的端口 443/80 创建 NAT 规则和安全策略

Question

mrmc

Asked: 2020-08-20 03:13:40 +0800 CST2020-08-20 03:13:40 +0800 CST 2020-08-20 03:13:40 +0800 CST

使用 iptables 转发流量而不暴露真实 IP/端口

772

我想用 iptables 转发流量，而不向发送主机显示不同的 ip/port。

我的应用程序使用 TCP 侦听主机 xx15.42，端口 23555。客户端将连接到 xx15.42:5555。我希望将连接转发到端口 23555 而不将该端口暴露给客户端。

我已经尝试过使用 DNAT：

iptables -t nat -A PREROUTING -p tcp --dport 5555 -j DNAT --to-destination x.x.15.42:23555

但是对于客户端，它将显示他们正在连接到端口 23555。

我也尝试使用 REDIRECT，但由于某种原因根本不起作用。客户端无法连接。

iptables -t nat -A PREROUTING -p tcp --dport 5555 -d x.x.15.42 -j REDIRECT --to-port 23555

如何转发此流量，同时使其看起来像应用程序正在侦听端口 5555？

2 个回答

Voted

mrmc · Answer 1 · 2020-08-28T10:19:38+08:00

Best Answer

mrmc

2020-08-28T10:19:38+08:002020-08-28T10:19:38+08:00

所以我使用的第一个防火墙规则有效：

iptables -t nat -A PREROUTING -p tcp --dport 5555 -j DNAT --to-destination x.x.15.42:23555

唯一的问题确实是服务器告诉客户端连接到端口 23555 而不是我想要的端口 5555。在服务器部分更改它可以解决问题。

1

Smock · Answer 2 · 2020-08-20T04:26:42+08:00

Smock

2020-08-20T04:26:42+08:002020-08-20T04:26:42+08:00

我只是 iptables 的涉猎者，所以你可以试试这个：

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5555 -j DNAT --to x.x.15.42:23555
iptables -A FORWARD -p tcp -d x.x.15.42 --dport 23555 -j ACCEPT

这两行都是需要的（我认为是缺少 FORWARD 选项导致这种情况），但不确定是否需要 interface-i eth0选项

来源参考

0

使用 iptables 转发流量而不暴露真实 IP/端口

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

使用 iptables 转发流量而不暴露真实 IP/端口

2 个回答

相关问题