您的位置：贝锐首页 > 花生壳首页 > 新闻资讯 > 如何利用iptables让端口映射快速实现？好用的方法推荐

如何利用iptables让端口映射快速实现？好用的方法推荐

花生壳 | 2018-12-11

最近海拔在某个项目实践过程中需要用到UDP端口转发，比如我需要用A服务器做为中转UDP服务器，用户访问A服务网的UDP端口时候转发至后端B服务器对应的UDP端口。

经过在网上查找，发现实现此功能多种方案，比如haproxy、nginx都可以实现，但由于我不想在安装其他的软件，就想着利用系统本身的功能来实现相关转发。经过查询资料和测试海拔发现了一个更为简单的方案——iptables。

请注意：此方案基于iptables，一般centos6自带iptables，centos7需要自行安装iptables。

一般情况下我们是用iptables转发（TCP）代码经常使用如下代码（头条代码显示不完善，凑活着看吧）：

iptables -t nat -A PREROUTING -d 10.10.10.1 -p tcp --dport 100 -j DNAT --to-destination 192.168.1.1:80

iptables -t nat -A POSTROUTING -d 192.168.1.1 -p tcp --dport 80 -j SNAT --to 10.10.10.1

iptables -A FORWARD -o eth0 -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.1.1 -p tcp --sport 80 -j ACCEPT
海拔按照一般思维将上述代码中的TCP修改为UDP发现转发失败，经过在网上继续查找相关资料，终于测试成功。

代码如下（10.10.10.1 代表本机IP， 192.168.1.1 代表目的地IP）：

iptables -t nat -A PREROUTING -d 10.10.10.1 -p udp --dport 100 -j DNAT --to-destination 192.168.1.1:80

iptables -t nat -A POSTROUTING -s 192.168.1.1 -p udp --dport 80 -j SNAT --to-source 10.10.10.1:100

iptables -A FORWARD -o eth0 -d 192.168.1.1 -p udp --dport 80 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.1.1 -p udp --sport 80 -j ACCEPT

iptables -t nat -A PREROUTING -d 10.10.10.1 -p tcp --dport 100 -j DNAT --to-destination 192.168.1.1:80

iptables -t nat -A POSTROUTING -s 192.168.1.1 -p tcp --dport 80 -j SNAT --to-source 10.10.10.1:100

iptables -A FORWARD -o eth0 -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.1.1 -p tcp --sport 80 -j ACCEPT
将上述代码复制，然后在ssh链接工具里粘贴执行即可。如果需要永久生效，记得用 iptables save 保存规则。

当然删除规则也很简单只需要执行以下代码：

iptables -t nat -D PREROUTING -d 10.10.10.1 -p udp --dport 100 -j DNAT --to-destination 192.168.1.1:80

iptables -t nat -D POSTROUTING -s 192.168.1.1 -p udp --dport 80 -j SNAT --to-source 10.10.10.1:100

iptables -D FORWARD -o eth0 -d 192.168.1.1 -p udp --dport 80 -j ACCEPT

iptables -D FORWARD -i eth0 -s 192.168.1.1 -p udp --sport 80 -j ACCEPT

iptables -t nat -D PREROUTING -d 10.10.10.1 -p tcp --dport 100 -j DNAT --to-destination 192.168.1.1:80

iptables -t nat -D POSTROUTING -s 192.168.1.1 -p tcp --dport 80 -j SNAT --to-source 10.10.10.1:100

iptables -D FORWARD -o eth0 -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT

iptables -D FORWARD -i eth0 -s 192.168.1.1 -p tcp --sport 80 -j ACCEPT

花生壳动态域名解析于2013年11月11日正式发布花生壳（内网穿透）服务。无需公网IP，无需路由器端口映射，从此对nat说NO！颠覆式的动态域名技术创新，全新的交互界面及功能体验，满足你多元化的需求，带给你焕然一新的使用感受。在安装完成花生壳（内网穿透）版本的客户端以及注册花生壳账号之后就可以使用花生壳进行内网穿透了。

花生壳端口映射软件自带端口映射功能，可以帮助用户解决各种网络需求，同时还能帮助用户实现内网穿透，即便用户处于复杂的网络环境中，花生壳也能正常解析域名。花生壳端口映射软件是不是很神奇？如果用户还在因为端口映射的问题而烦恼，不妨借助花生壳软件来解决各种网络问题。