Redirection de port d'un serveur Web à l'aide d'iptables

Aperçu

Décrit comment transférer (c'est-à-dire la redirection de port) le "nom d'hôte: numéro de port" d'un serveur Web vers "un autre hôte: numéro de port" sous Linux. Pour réaliser cela, utilisez "iptables" qui est fourni en standard avec CentOS et Ubuntu. Le contenu introduit cette fois peut probablement être réalisé avec firewalld etc. qui est inclus par défaut dans CentOS 7 ou version ultérieure, mais à la suite de la recherche d'une méthode de redirection de port qui ne dépend pas autant que possible de l'environnement, j'ai décidé d'utiliser iptables. Il y a quelques articles qui présentent des méthodes de redirection de port avec iptable, mais même si j'ai essayé ces méthodes docilement, cela n'a pas fonctionné, et j'étais assez accro à la réalisation, donc je vais le résumer à nouveau dans cet article. Seul le protocole http (https) a été confirmé pour fonctionner cette fois, mais s'il s'agit d'une communication TCP, il devrait fonctionner avec d'autres protocoles (ssh, ftp, etc.).

Configuration que vous souhaitez réaliser

• L'adresse IP du serveur Web (destination de transfert) est 23.45.67.89 '' et le port est 80 ''.
• L'adresse IP du serveur source de transfert pour lequel la redirection de port est définie est `` 192.168.1.4 ''
• Lorsque le client demande http: //192.168.1.4: 10080 '' au serveur source de transfert, le port du serveur source de transfert est redirigé vers le serveur Web et dit http: //23.45.67.89: 80 ''. Demande sur le site.
• Après l'envoi de la demande, la réponse renvoyée par le serveur Web peut être consultée sur le client.

Implémentation par iptables

Exécutez la commande suivante sur le serveur source de transfert

(1) chaîne PREROUTING

• La demande entrante du client traduit l'adresse IP et le port de destination
• `` --dport '': numéro de port de destination avant la conversion
• --to-destination: "IP de destination: numéro de port" après la conversion

$ sudo iptables -t nat -A PREROUTING -p tcp \
                --dport 10080 -j DNAT \
                --to-destination 23.45.67.89:80

(2) Chaîne POSTROUTING

• Description des paquets sortant du serveur de transfert
• `` --d '': adresse IP traduite
• `` --dport '': numéro de port de destination après conversion
• `` -j MASQUERADE '': Effectuer une mascarade IP

$ sudo iptables -t nat -A POSTROUTING -p tcp \
                -d 23.45.67.89 --dport 80 \
                -j MASQUERADE

• Ce que nous faisons spécifiquement dans IP Masquerade est le processus de conversion de l'adresse IP source de «client» en «serveur de transfert source (192.168.1.4)». Une valeur arbitraire est attribuée au numéro de port chaque fois qu'une communication est effectuée.

(3) Chaîne AVANT

• Une description requise pour permettre le passage des paquets envoyés par le client.

• Dans le cas de la communication TCP, la communication bidirectionnelle est effectuée par une méthode appelée 3way-handshake, donc des paramètres sont nécessaires pour permettre les deux communications.

• Site de référence: Fireplace made with Linux [Packet filtering settings]

• La commande pour permettre au paquet de passer au "Client → serveur Web" est la suivante

$ sudo iptables -A FORWARD -p tcp \
                -d 23.45.67.89 --dport 80 \
                -j ACCEPT

• Par contre, la commande pour permettre le passage des paquets vers "serveur web → client" est la suivante
• Comme le réglage est dans le sens inverse, les options qui décrivent l'adresse IP et le port du serveur Web doivent être " -s: adresse source" et "" --sport: numéro de port source. Remarque
• La description sur la deuxième ligne ""! --Syn -m state --state ESTABLISHED`` "est une description pour n'autoriser que les communications qui remplissent des conditions spécifiques. Si vous ne vous souciez pas de la sécurité, vous pouvez l'omettre.

$ sudo iptables -A FORWARD -p tcp \
                ! --syn -m state --state ESTABLISHED \
                -s 23.45.67.89 --sport 80 \
                -j ACCEPT

(4) Chaîne de SORTIE

• Décrit lorsque vous souhaitez également transférer la demande depuis le serveur source de transfert.
• La méthode d'écriture est la même que PREROUTING dans (1) sauf que le nom de la chaîne est OUPUT.

$ sudo iptables -t nat -A OUTPUT -p tcp \
                --dport 10080 -j DNAT \
                --to-destination 23.45.67.89:80