Как переслать порты HTTP и SSH на мой внутренний сервер с помощью iptables?
У меня нет маршрутизатора, поэтому я превращаю систему Linux в маршрутизатор с CentOS 6.4 для перенаправления трафика публичной сети в мою локальную локальную сеть. Он имеет две карты NIC. Один для публичного IP-адреса (eth1) и другой для частного IP-адреса (eth2).
У меня есть сервер, который подключен к моей локальной сети, предположим, 192.168.1.2.
хххх для публичного IP-адреса (этот IP-адрес на eth1).
Предполагается, что IP-адрес системного маршрутизатора Linux 192.168.1.1 (этот IP-адрес находится на eth2).
Я хочу, чтобы когда кто-то из любой сети из любого места использовал это, т.е.
ssh x.x..x.x (общедоступный IP-адрес) или используя PuTTY
оно будет отправлено на сервер.
Я отключаю брандмауэр SELinux и iptables на сервере.
Я сделал некоторые модификации Iptables на системном маршрутизаторе Linux, но он идет сам по себе, который работает как маршрутизатор, а не к главному серверу из другой сети и той же сети.
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.1 --dport 22 -j DNAT --to-destination 192.168.1.2:22
Но это не работает.
И снова я хочу перенаправить весь трафик HTTP (80) на мой внутренний сервер, используя iptables с того же системного маршрутизатора Linux.
Какое решение для этого?
4 ответа
Прежде всего убедитесь, что в ядре включена пересылка пакетов
# echo 1 > /proc/sys/net/ipv4/ip_forward
Вы также можете сделать его постоянным, добавив ниже строку /etc/sysctl.conf
net.ipv4.ip_forward = 1
Вы должны сделать это на Linux Machine, выступающей в роли маршрутизатора. Вы можете попробовать следующее правило на маршрутизаторе.
iptables -t nat -A PREROUTING -i eth1 -d x.x.x.x -p tcp --dport 22 -j DNAT --to-destination 192.168.1.2:22
Также дайте нам знать вывод ваших правил NAT из коробки маршрутизатора.
iptables -t nat -L -n -v
Основываясь на этом удивительном руководстве DigitalOcean о том, как перенаправлять порты, я решил переписать его здесь.
Я потратил много часов на изучение того, как это работает. Я новичок в Linux, и начинания не всегда просты. Вот пример моих серверов и переадресация портов:
Сервер брандмауэра (2 карты NIC) - данные сети:
- Публичный IP-адрес: xx.xx.xx.xx
- Частный IP-адрес: yy.yy.yy.yy
- Открытый интерфейс: eth0
- Частный интерфейс: eth1
Внутренний (например, ssh, web) сервер (1 сетевая карта) - данные сети:
- Частный IP-адрес: zz.zz.zz.zz
- Частный интерфейс: eth0
Решение:
Включить пересылку пакетов в ядре:
echo 1 > /proc/sys/net/ipv4/ip_forward
Определите переменные:
# Admin IP address (e.g. public home ip)
ADMIN="aa.aa.aa.aa"
# IP addresses of servers (e.g. in cloud):
FW_eth0_ip="xx.xx.xx.xx"
FW_eth1_ip="yy.yy.yy.yy"
WEB_eth0_ip="zz.zz.zz.zz"
# Services:
SSH="22"
HTTP="80"
Переадресация портов Iptables (с -m conntrack):
iptables -t nat -A PREROUTING -i eth0 -s $ADMIN -d $FW_eth0_ip -p tcp --dport $SSH -j DNAT --to-destination $WEB_eth0_ip
iptables -A FORWARD -i eth0 -o eth1 -p tcp --syn --dport $SSH -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport $SSH -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport $SSH -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport $SSH -d $WEB_eth0_ip -j SNAT --to-source $FW_eth1_ip
Несколько заметок:
- "..- s $ ADMIN -d $ FW_eth0_ip.." (1-я строка) - добавлено только по соображениям безопасности - это означает, что только ADMIN IP может иметь доступ к SSH (если не нужно, вы можете удалить его)
- -m conntrack - это то же самое, что и -m state
- Я рекомендую изменить порт SSH по умолчанию на другой порт, например 1xxxx (в /etc/ssh/sshd_config)
- проверьте список номеров портов TCP и UDP
- Я использую порт 15xx1 для доступа к SSH на сервере брандмауэра, а 15xxx2 - к внутреннему.
Терминал:
# access firewall server
$ ssh sancro@xx.xx.xx.xx -p 15xx1
# access internal server
$ ssh sancro@xx.xx.xx.xx -p 15xx2
Более подробная информация об используемых правилах прекрасно описана в упомянутом руководстве.
Это все от меня, надеюсь, это поможет вам.
Прежде всего, включите маршрутизацию в шлюзе Linux:
echo 1 > /proc/sys/net/ipv4/ip_forward
Затем добавьте следующие правила с вашим сетевым интерфейсом (например, eth1) и желаемыми портами:
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.2
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 22 -j DNAT --to 192.168.1.2
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Проверьте свои правила с iptables -L -vстолбцы pkts и bytes покажут, какие правила соответствуют.
Хотя этот вопрос касается iptables, в случае, если у вас также запущен FirewallD, вот как получить доступ к HTTP внутренней сети.
Сначала разрешите http-трафик на вашем внутреннем сервере FirewallD:
# firewall-cmd --permanent --add-service=http
Затем перенаправьте http-трафик с внешнего ip на порт 80 внутреннего ip:
# firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=10.0.0.11
То же самое можно сделать для службы SSH.