内网服务器通过iptables映射到公网的实战教程

iptables 是Linux系统中用于网络包过滤和路由管理的重要工具，特别是在网络代理或负载均衡场景中，它可以帮助内网服务通过指定的公网地址对外提供访问。本文将详细介绍如何配置iptables实现内网服务器的地址映射到公网，并且仅让特定内网IP通过代理访问外网。 在给定的案例中，假设有一个集群环境，其中一台内网服务器（IP: 192.168.142.82）需要通过反代（IP: 192.168.142.90）访问公网。首先，确保内网服务器的网卡配置正确，例如`ifcfg-enp2s0f1`文件中： - 网卡类型设为Ethernet（ TYPE=Ethernet） - 确保网络接口启动时自动加载（ONBOOT=yes） - 设置网卡IP地址（IPADDR=192.168.142.82） - 将网关设置为反代的内网IP（GATEWAY=192.168.142.90） 重启网卡后，接下来在反代机器上配置iptables规则来实现内网映射。在`/etc/sysconfig/iptables`文件中，可以创建以下规则： 1. 允许入站连接：`-A INPUT -m tcp -m tcp --dport 22 -j ACCEPT`（允许SSH连接） 2. 保持状态相关的连接和已建立连接开放：`-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT` 3. 允许HTTP访问：`-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT`（允许HTTP请求） 4. 允许特定内网IP访问特定端口：`-A INPUT -p tcp -m tcp --dport 8080 -s 192.168.142.0/24 -j ACCEPT`（允许来自192.168.142.0/24的TCP连接到8080端口） 5. 允许HTTPS访问：`-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT`（允许HTTPS请求） 对于ICMP协议（如ping请求），可能需要类似 `-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT` 的规则，具体取决于是否允许内网主机接收ping响应。 这些iptables规则设置完成后，内网服务器的流量会经过反代，使用反代的公网IP作为源IP转发到互联网，实现内网到公网的映射。请注意，实际操作中可能还需要根据具体需求调整规则，例如添加源IP限制、日志记录等。同时，为了安全考虑，建议定期检查和更新iptables规则，确保防火墙策略符合当前环境的需求。