[LINUX] Portweiterleitung eines Webservers mithilfe von iptables

Überblick

Beschreibt, wie der "Hostname: Portnummer" eines Webservers unter Linux auf "einen anderen Host: Portnummer" übertragen (dh Portweiterleitung) wird. Verwenden Sie dazu "iptables", die standardmäßig in CentOS und Ubuntu enthalten sind. Der diesmal eingeführte Inhalt kann wahrscheinlich mit Firewalld usw. realisiert werden, die standardmäßig in CentOS 7 oder höher enthalten ist. Als Ergebnis der Suche nach einer Methode zur Portweiterleitung, die nicht so stark von der Umgebung abhängt, habe ich mich für die Verwendung von iptables entschieden. Es gibt einige Artikel, die Portweiterleitungsmethoden mit iptable einführen, aber selbst wenn ich diese Methoden gehorsam ausprobiert habe, hat es nicht funktioniert, und ich war ziemlich süchtig nach der Realisierung, daher werde ich es in diesem Artikel noch einmal zusammenfassen. Diesmal wurde bestätigt, dass nur das http (https) -Protokoll funktioniert. Wenn es sich jedoch um eine TCP-Kommunikation handelt, sollte es mit anderen Protokollen (ssh, ftp usw.) funktionieren.

Konfiguration, die Sie realisieren möchten

• Die IP-Adresse des Webservers (Weiterleitungsziel) lautet "23.45.67.89" und der Port "80".
• Die IP-Adresse des Übertragungsquellenservers, für den die Portweiterleitung festgelegt ist, lautet "192.168.1.4"
• Wenn der Client "http: //192.168.1.4: 10080" vom Übertragungsquellenserver anfordert, leitet der Port des Übertragungsquellenservers an den Webserver weiter und "http: //23.45.67.89: 80" Anfrage an die Seite.
• Nach dem Senden der Anfrage kann die vom Webserver zurückgegebene Antwort auf dem Client angezeigt werden.

Implementierung durch iptables

Führen Sie den folgenden Befehl auf dem Übertragungsquellenserver aus

(1) PREROUTING-Kette

• Client Incoming Request übersetzt die Ziel-IP-Adresse und den Port
• --dport: Zielportnummer vor der Konvertierung
• --to-destination: "Ziel-IP: Portnummer" nach der Konvertierung

$ sudo iptables -t nat -A PREROUTING -p tcp \
                --dport 10080 -j DNAT \
                --to-destination 23.45.67.89:80

(2) POSTROUTING-Kette

• Beschreibung der Pakete, die vom Weiterleitungsserver ausgehen
• --d: Übersetzte IP-Adresse
• --dport: Zielportnummer nach der Konvertierung
• -j MASQUERADE: Führen Sie eine IP-Maskerade durch

$ sudo iptables -t nat -A POSTROUTING -p tcp \
                -d 23.45.67.89 --dport 80 \
                -j MASQUERADE

• Was wir speziell in IP Masquerade tun, ist der Prozess der Konvertierung der Quell-IP-Adresse von "Client" in "Quell-Server übertragen (192.168.1.4)". Bei jeder Kommunikation wird der Portnummer ein beliebiger Wert zugewiesen.

(3) VORWÄRTS-Kette

• Eine Beschreibung, die erforderlich ist, um die Weiterleitung von vom Client gesendeten Paketen zu ermöglichen.

• Bei der TCP-Kommunikation erfolgt die bidirektionale Kommunikation nach einer Methode namens 3way-Handshake. Daher müssen Einstellungen vorgenommen werden, um beide Kommunikationen zu ermöglichen.

• Referenzseite: Mit Linux erstellter Kamin [Einstellungen für die Paketfilterung]

• Der Befehl, mit dem das Paket an "Client → Webserver" übergeben werden kann, lautet wie folgt

$ sudo iptables -A FORWARD -p tcp \
                -d 23.45.67.89 --dport 80 \
                -j ACCEPT

• Der Befehl zum Weiterleiten von Paketen an "Webserver → Client" lautet dagegen wie folgt
• Da die Einstellung in umgekehrter Richtung erfolgt, müssen die Optionen, die die IP-Adresse und den Port des Webservers beschreiben, " -s: Quelladresse" und "" --sport: Quellportnummer sein. Hinweis
• Die Beschreibung in der zweiten Zeile ""! --Syn -m state --state ESTABLISHED`` "ist eine Beschreibung, die nur Kommunikation zulässt, die bestimmte Bedingungen erfüllt. Wenn Ihnen die Sicherheit egal ist, können Sie sie weglassen.

$ sudo iptables -A FORWARD -p tcp \
                ! --syn -m state --state ESTABLISHED \
                -s 23.45.67.89 --sport 80 \
                -j ACCEPT

(4) AUSGANGSKETTE

• Beschrieben, wann Sie die Anforderung auch vom Übertragungsquellenserver weiterleiten möchten.
• Die Schreibmethode ist dieselbe wie PREROUTING in (1), außer dass der Kettenname OUPUT ist.

$ sudo iptables -t nat -A OUTPUT -p tcp \
                --dport 10080 -j DNAT \
                --to-destination 23.45.67.89:80