IPTables - Cổng tới ip & port khác (từ bên trong)

Tôi hiện có một hộp NAS chạy dưới cổng 80. Để truy cập NAS từ bên ngoài, tôi đã ánh xạ cổng 8080 sang cổng 80 trên NAS như sau:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.32.25.2:80

Đây là làm việc như một nét duyên dáng. Tuy nhiên, điều này chỉ hoạt động nếu tôi đang truy cập trang web từ bên ngoài mạng (tại nơi làm việc, tại nhà khác nhau, v.v.). Vì vậy, khi tôi nhập mywebsite.com:8080, IPTables thực hiện công việc chính xác và mọi thứ đều hoạt động tốt.

Bây giờ, vấn đề tôi gặp phải là, làm thế nào tôi có thể chuyển hướng cổng này từ bên trong mạng? Tên miền của tôi mywebsite.comtrỏ đến bộ định tuyến của tôi (máy chủ linux của tôi) từ bên trong (10.32.25.1) nhưng tôi muốn chuyển hướng cổng 8080 sang cổng 80 trên 10.32.25.2 từ bên trong.

Có manh mối nào không?

Chỉnh sửa số 1

Cố gắng giúp tạo điều kiện cho câu hỏi này, tôi đặt sơ đồ này cùng nhau. Xin vui lòng cập nhật nếu nó không chính xác hoặc trình bày sai những gì bạn đang tìm kiếm.

                                 iptables
                                     |                   .---------------.
    .-,(  ),-.                       v               port 80             |
 .-(          )-.        port 8080________               |               |
(    internet    )------------>[_...__...°]------------->|      NAS      |
 '-(          ).-'     10.32.25.2    ^   10.32.25.1      |               |
     '-.( ).-'                       |                   |               |
                                     |                   '---------------'
                                     |
                                     |
                                   __  _ 
                                  [__]|=|
                                  /::/|_|

Cuối cùng tôi đã tìm thấy cách làm. Đầu tiên, tôi phải thêm -i eth1vào quy tắc "bên ngoài" của mình (eth1 là kết nối mạng WAN của tôi). Tôi cũng cần thêm hai quy tắc khác. Cuối cùng, những gì tôi đi kèm:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.32.25.2 --dport 80 -j MASQUERADE

Bạn cũng quên đề cập rằng chuyển tiếp gói nên được kích hoạt để có thể thực hiện NAT đích. Theo mặc định, nó thường tắt, vì vậy các quy tắc iptables sẽ không hoạt động. Nó có thể được kích hoạt bằng cách phát hành:

echo 1 > /proc/sys/net/ipv4/ip_forward

Đầu tiên cho phép chuyển tiếp với

echo 1 > /proc/sys/net/ipv4/ip_forward

Sau đó đặt quy tắc iptable với

IF=eth1
PORT_FROM=8080
PORT_TO=80
DEST=10.32.25.2
iptables -t nat -A PREROUTING -i $IF -p tcp --dport $PORT_FROM -j DNAT --to $DEST:$PORT_TO
iptables -t nat -A POSTROUTING -p tcp -d $DEST --dport $PORT_TO -j MASQUERADE

Bạn có thể đặt những dòng này vào /etc/rc.localví dụ. Lưu ý: vì Debian jessie làm cho nó có thể thực thi được và kích hoạt dịch vụ RC.local thông qua

systemctl enable rc-local.service

Trước tiên, bạn cần xác minh rằng bạn đã kích hoạt chuyển tiếp:

cat /proc/sys/net/ipv4/ip_forward

Nếu không 1, hãy chạy echo 1 > /proc/sys/net/ipv4/ip_forward.

Nếu bạn muốn lưu lượng truy cập nhấn 10.32.25.1 trên cổng 80 và 443 để được chuyển tiếp đến cổng 80.32.25.2 thì bạn nên sử dụng quy tắc dưới đây:

iptables -t nat -A PREROUTING -d 10.32.25.1 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.32.25.2:80