NAT机器设置iptables转发(含udp)

 

使用 iptables 进行中转

对于其他系统或不使用 firewalld 的用户,也可以使用 iptables 进行中转设置。
首先要修改 /etc/sysctl.conf 文件:
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

如下显示的是不同端口(本机端口号和目标机端口号不同)的中转方法:

sudo iptables -t nat -A PREROUTING -p tcp --dport 本机端口号 -j DNAT --to-destination 目标地址:目标端口号
sudo iptables -t nat -A PREROUTING -p udp --dport 本机端口号 -j DNAT --to-destination 目标地址:目标端口号
sudo iptables -t nat -A POSTROUTING -p tcp -d 目标地址 --dport 目标端口号 -j SNAT --to-source 本机内网地址
sudo iptables -t nat -A POSTROUTING -p udp -d 目标地址 --dport 目标端口号 -j SNAT --to-source 本机内网地址

其中,目标地址 为目标服务器的 IP 地址,本机内网地址 为本机在内部局域网的 IP 地址。

CentOS 下保存规则
sudo service iptables save

Debian & Ubuntu 下 保存规则:

sudo apt install iptables-persistent -y
sudo netfilter-persistent save
sudo netfilter-persistent start

至此,利用 iptables 设置中转的方法介绍完毕。另可根据使用场景,对目标机的防火墙进行配置,令其只接受来自此 NAT VPS 的流量。

评论

发表评论

此博客中的热门博文

搭建Trojan-go一键脚本教程

  github地址: https://github.com/jinwyp/one_click_script 功能说明 Features 1.支持 trojan,trojan-go 和 v2ray, xray 的安装 升级 卸载. 卸载后不留任何痕迹, 方便重复安装. 2.支持 trojan 或 trojan-go 与 v2ray 共存, nginx全面支持TLS1.3 保证安全性, 支持SNI分流 3.可以仅安装 trojan 或 v2ray, 可以不安装nginx. 方便与宝塔面板或现有网站共存. 4.支持 v2ray 和 xray 新的vless协议, 支持v2ray作为前端 监听443端口 同时转发trojan 和 websocket 5.支持 trojan-go websocket 模式, 可以选择是否支持CDN (websocket) 6.默认会创建10个以上用户账号, 还能创建指定前缀的密码, 方便用户使用. 7.trojan 和 v2ray 可视化管理面板安装. 8.一键安装wireguard, 解决避免弹出Google人机验证和 Netflix 限制问题 9.支持 一键安装 v2board 面板的服务器端 V2Ray-Poseidon 或 soga 10.本脚本没有偷跑服务器流量的网页或其他屏蔽bt流量的等限制. 默认网页仅为bootstarp最简单的模板 11.本脚本所使用端口除443和80外都是随机生成, 保证安全性, 而其他脚本写死固定端口容易被检测 12本脚本不推荐安装多种v2ray的多种协议共存, 协议越多安全性越低, 而且也不会提高速度, 没有必要使用多合一的脚本同时安装多个协议 Installation 安装方法 通过 curl 命令安装 curl -O https://raw.githubusercontent.com/jinwyp/one_click_script/master/trojan_v2ray_install.sh && chmod +x ./trojan_v2ray_install.sh && ./trojan_v2ray_install.sh 通过 wget 命令安装 wget --no-check-certificate https://raw.githubuserc...
阅读全文

使用 Cloudflare WARP 给 VPS 服务器免费添加 IPv4 或 IPv6 网络支持

图片
  准备工作 既然 WARP 是基于 Wire­Guard 的,那么我们首先就需要安装 Wire­Guard 。由于博主使用的是 De­bian ,所以只写了 De­bian 的 Wire­Guard 详细安装方法,其它系统可以参考 官方文档 来进行安装。 首先安装一些必要的工具,防止接下来的操作出问题。 apt update apt install curl sudo lsb - release - y 添加 back­ports 源 echo "deb http://deb.debian.org/debian $(lsb_release -sc)-backports main" | sudo tee /etc/apt/sources.list.d/backports.list sudo apt update 安装网络工具包 sudo apt install net - tools iproute2 openresolv dnsutils - y 安装  wireguard-tools  (Wire­Guard 配置工具: wg 、 wg-quick ) sudo apt install wireguard - tools -- no - install - recommends 安装 WireGuard 先执行  uname -r  命令查看内核版本。如果是 5.6 以上内核则已经集成了 Wire­Guard ,就不需要安装了。 当然看到这篇教程的小伙伴肯定大多数都不是这个情况,因为目前 De­bian 10 自带的内核版本是 4.19 。所以有如下几个安装方法可供选择: 安装版本高于 5.6 的内核 安装 wireguard 内核模块 安装 wireguard-go 网络性能方面 内核集成 > 内核模块 > wireguard-go ,至于如何选择还要看实际情况: KVM / HyperV / XEN HVM 等完整虚拟化的 VPS 主机,以上都是可选项,根据实际情况任选其一,后面有相关说明。 OpenVZ / LXC 等非完整虚拟化 VPS 主机,由于是共享宿主机内核,故无法对内核进行修改,就只能安装  wireguard-go 。 如果只要安装方便快捷,对网络性能没有极致追求,又或者对以上信息一脸懵...
阅读全文

GCP DD windows server 2012 亲测可用

 wget --no-check-certificate -qO InstallNET.sh 'https://moeclub.org/attachment/LinuxShell/InstallNET.sh' && bash InstallNET.sh --ip-addr 10.182.0.3 --ip-mask 255.255.240.0 --ip-gate 10.182.0.1 -dd 'https://oss.sunpma.com/Windows/Whole/cn_windows2012r2_administrator_Password147.gz'
阅读全文