Linux配置端口转发

一些大型站点可能需要用到端口转发功能，通过转发实现服务器压力缓解，达成多台服务器联动的效果。那么，端口转发功能要如何实现呢？


首先开启IP转发功能，默认是关闭的。
 

开启端口转发

临时修改：

# echo 1 >/proc/sys/net/ipv4/ip_forward

修改过后就马上生效，但如果系统重启后则又恢复为默认值0。

永久修改：

vi /etc/sysctl.conf

# 找到下面的值并将0改成1

net.ipv4.ip_forward = 1
# sysctl –p（使之立即生效）

默认值0是禁止ip转发，修改为1即开启ip转发功能。


 

配置端口转发

假设用户访问172.16.4.247:728时我想让它转发到172.16.4.97:80

# iptables -t nat -A PREROUTING  -p tcp -d 113.108.110.61 --dport 728 -j DNAT --to-destination 172.16.4.97:80
# iptables -t nat -A POSTROUTING -p tcp -s 172.16.4.97 --sport 80 -j SNAT --to-source 172.16.4.247
# service iptables save（将当前规则保存到 /etc/sysconfig/iptables）

或者，你也可以直接修改/etc/sysconfig/iptables文件：

-A PREROUTING -d 172.16.4.247/32 -p tcp -m tcp --dport 728 -j DNAT --to-destination 172.16.4.97:80
-A POSTROUTING -s 172.16.4.97/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 172.16.4.247

最后不要忘了开放728端口

-A INPUT -p tcp -m state --state NEW -m tcp --dport 728 -j ACCEPT

配置完成后，记得重启防火墙：

# service iptables restart

本机端口转发
如果只需要在本机间不同的端口转发就比较容易了，比如 访问 http://ip:729 我想返回 http://ip:80 的内容，配置如下：

[root@localhost sbin]# iptables -t nat -A PREROUTING -p tcp --dport 729 -j REDIRECT --to-ports 80
[root@localhost sbin]# service iptables save
[root@localhost sbin]# service iptables restart

 

端口转发注意事项

一些不法站点会利用端口转发功能窃取其他站点，尤其是新站的资源，此时我们就要配置服务器防护防止资源被窃取，可查看 >> 宝塔面板如何防止恶意网站解析？ << 端口转发就是本文介绍的恶意解析的一种方式。