Перенаправление порта iptables не работает для localhost

Question

Перенаправление порта iptables не работает для localhost

Я хочу перенаправить весь трафик с порта 443 на внутренний порт 8080. Я использую этот конфиг для iptables:

iptables -t nat -I PREROUTING --source 0/0 --destination 0/0 -p tcp \
         --dport 443 -j REDIRECT --to-ports 8080

Это работает для всех внешних клиентов. Но если я пытаюсь получить доступ к порту 443 с той же машины, я получаю сообщение об ошибке соединения отказано.

wget https://localhost

Как я могу расширить правило iptables для перенаправления локального трафика тоже?

60

linux iptables firewall port-forwarding

Источник

Chris 11 дек '10 в 14:41

5 ответов

Другие вопросы по тегам linux iptables firewall port-forwarding

Andy 11 дек '10 в 15:34 2010-12-11 15:34 · Answer 1 · 2010-12-11 15:34

PREROUTING не используется интерфейсом обратной связи, вам также необходимо добавить правило OUTPUT:

iptables -t nat -I PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8080
iptables -t nat -I OUTPUT -p tcp -o lo --dport 443 -j REDIRECT --to-ports 8080

79

Источник

Andy 11 дек '10 в 15:34

16 июн '17 в 05:24 2017-06-16 05:24 · Answer 2 · 2017-06-16 05:24

Для перенаправления пакетов с локального хоста на другую машину действует правило:

 iptables -t nat -A OUTPUT -o lo -d 127.0.0.1 -p tcp --dport 443 -j DNAT  --to-destination 10.x.y.z:port

будет работать, НО вам также нужно включить эту опцию в ядре:

sysctl -w net.ipv4.conf.all.route_localnet=1

Без настройки ядра это не сработает.

15

Источник

16 июн '17 в 05:24

Athanasios 11 дек '10 в 20:28 2010-12-11 20:28 · Answer 3 · 2010-12-11 20:28

Как насчет этого?

iptables -t nat -A ВЫХОД -d 127.0.0.1 -p tcp --dport 443 -j REDIRECT --to-port 8080

3

Источник

Athanasios 11 дек '10 в 20:28

Khaled 11 дек '10 в 14:44 2010-12-11 14:44 · Answer 4 · 2010-12-11 14:44

Вы сказали, что получаете сообщение об ошибке "Отказано в соединении". Это означает, что не существует локального процесса, прослушивающего порт, к которому вы пытаетесь подключиться! Чтобы проверить процессы прослушивания, используйте команду:

$ sudo netstat -lnp | grep 8080

После применения правила у вас должен быть процесс, прослушивающий порт 8080 для подключения.

Похоже, у вас должно быть следующее правило:

$ iptables -t nat -I OUTPUT --source 0/0 --destination 0/0 -p tcp
                                       --dport 443 -j REDIRECT --to-ports 8080

Помните, что вы отправляете с локального хоста. Итак, вам нужно перенаправить выходной пакет.

Zhang Frank 28 июл '23 в 07:45 2023-07-28 07:45 · Answer 5 · 2023-07-28 07:45

Я также нашел эту проблему. После всех этих способов он все еще не работал.

echo "1" > /proc/sys/net/ipv4/ip_forward
используйте «OUTPUT» в iptables для перенаправления локального хоста

Наконец-то я нашел причину, почему это не сработало! Потому что REDIRECT в iptables всегда REDIRECT на localhost, а не на eth0 или другое сетевое устройство. Таким образом, запрос будет перенаправлен на локальный хост, если ваш сервер привязывает eth0, получить его невозможно.

ВЫ ТАКЖЕ ДОЛЖНЫ ДОБАВИТЬ ЭТУ СТРОКУ:

      iptables -t nat -A OUTPUT -p tcp -d 0.0.0.0 --dport 443 -j DNAT --to-destination 0.0.0.0:8080