问题描述
我正在尝试了解iptables,似乎根本无法重定向流量。目标是将流量从端口4567重定向到8443,并让(本地)程序监听后者。
我编写了一个简短的脚本,以确保每次更改规则时都刷新并重新启动iptables:
#!/bin/bash
iptables -t nat -F
iptables -t nat -A PREROUTING -p tcp --dport 4567 -j REDIRECT --to-ports 8443
sudo /sbin/iptables-save
我还设置了ip_forwarding(尽管我不确定是否需要):
sudo echo "1" > /proc/sys/net/ipv4/ip_forward
我正在运行这个简单的python脚本来测试路由。该站点的目的是允许在任何端口上进行HTTP请求。
import requests
r = requests.get("http://portquiz.net:4567")
print(r.status_code)
通过查看iptables -t nat --list -v的输出来检查是否有任何数据包/字节通过预路由
Chain PREROUTING (policy ACCEPT 4 packets,560 bytes)
pkts bytes target prot opt in out source destination
0 0 REDIRECT tcp -- any any anywhere anywhere tcp dpt:4567 redir ports 8443
iptables和python脚本都在同一台机器上(我的笔记本电脑)。 python请求似乎没有问题,并且似乎没有被预路由策略拦截。
我正在运行最新的ubuntu 20.02
如果有用的话,这是iptables-save的输出:
# Generated by iptables-save v1.8.4 on Tue Nov 10 13:20:02 2020
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 4567 -j REDIRECT --to-ports 8443
COMMIT
# Completed on Tue Nov 10 13:20:02 2020
# Generated by iptables-save v1.8.4 on Tue Nov 10 13:20:02 2020
*filter
:INPUT ACCEPT [16727:8538288]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16979:3211690]
COMMIT
# Completed on Tue Nov 10 13:20:02 2020
解决方法
使用iptables时,需要密切注意本地数据包和网络数据包之间的关系。
本地数据包是在本地计算机上创建的数据包,而网络数据包是接收到的数据包。 PREROUTING适用于网络数据包,例如路由器设备上的数据包。由于在这种情况下,它们都是本地的,因此必须使用OUTPUT而不是PREROUTING来重定向数据包。
因此,必要的规则是。
iptables -t nat -A OUTPUT -p tcp --dport 4567 -j REDIRECT --to 8443
我发现这张照片非常有用:
