请问Iptables中NAT端口转换对应的问题

000zzz

现在为安全起见，需要把外网访问的端口范围整体偏移1000，一一对应，即外网访问1023端口，则转换到内网中的23端口，访问1021端口
则转换到21端口。使用Iptables如何实现？
我使用 下面命令，实现不了：
iptables -t nat -A PREROUTING -p tcp -d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-200
这条规则只是把1001-1200的目的端口转换为1－200中随机的一个，一般是从空闲端口中选取小的端口。
我测试得出，第一次，目的端口是1023，则转换为1，再来一个，端口是1021，则转换为2。

另外，问一下，如果转换前后的端口范围不一样，如下面Iptables 会导致什么样的现象呀？
iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-100
iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-300
望各位多多帮助。

dannycat

现在为安全起见，需要把外网访问的端口范围整体偏移1000，一一对应，即外网访问1023端口，则转换到内网中的23端口，访问1021端口
则转换到21端口。使用Iptables如何实现？
我使用 下面命令，实现不了：
iptables -t nat -A PREROUTING -p tcp -d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-200

要“一一对应”只能一条一条的加。

另外，问一下，如果转换前后的端口范围不一样，如下面Iptables 会导致什么样的现象呀？
iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-100
iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-300

只有第一条匹配的起作用。

bst

iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-100
iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-300

按顺序执行,如果包复合其中的一条规则就不会在往下走了..因此就是楼上说的只有第一条起作用

000zzz

我解释一下：
iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-100
iptables -t nat -A PREROUTING -p tcp \
-d 211.96.22.25 --dport 1001:1200 -j DNAT --to- destination 192.168.1.1:1-300
我问的是上面两条分别会导致什么样的现象，不是两条规则都配置了。

另：如果要实现一一对应，转换前后端口号又不相同的情况真得只有一条一条的配置吗？那肯定是不可实现的，效率太低了。

dannycat

这条规则只是把1001-1200的目的端口转换为1－200中随机的一个，一般是从空闲端口中选取小的端口。

这不是很明白吗？ 只不过是“端口池”大小的问题而已。

另：如果要实现一一对应，转换前后端口号又不相同的情况真得只有一条一条的配置吗？那肯定是不可实现的，效率太低了。

你可以用脚本循环啊。

000zzz

to:dannvcat

引用:
另：如果要实现一一对应，转换前后端口号又不相同的情况真得只有一条一条的配置吗？那肯定是不可实现的，效率太低了。

你可以用脚本循环啊。

用脚本循环，也只是把那么多的规则写道Netfilter中去比较方便吧。但是Iptables的规则还是增大了很多，我的防火墙运行起来后，还是要一条一条的匹配，效率还是很低呀

dannycat

呵呵，我还以为你说的“效率”是指打字 :-)

LINUX 重定向的效率如何自己体会；至于这么多条规则，则是因你的古怪要求而起的。真的有必要吗？ “为安全起见”，如此于安全有何好处？ 就算是真有必要，需要开200个端口？


规则匹配的效率，要看你的编写技巧了。常用的放最前面，我想这个不需我说你也知道。
对于特殊规则、可以归类处理的规则，开新链处理。比如：[code:1]#定义新链 dant_chain
iptables -t nat -N dnat_chain
#到 211.96.22.25:1001 端口的 TCP 包重定向到 192.168.1.1:1
iptables -t nat -A dnat_chain -p tcp -d 211.96.22.25 --dport 1001 -j DNAT --to- destination 192.168.1.1:1
#211.96.22.25:1002 --> 192.168.1.1:2
iptables -t nat -A dnat_chain -p tcp -d 211.96.22.25 --dport 1002 -j DNAT --to- destination 192.168.1.1:2
  .
  .
  .

# 主链里，到 1001-1200 端口的 TCP 包转给自定义链 dnat_chain 处理，否则继续
iptables -t nat -A PREROUTING -p tcp -d 211.96.22.25 --dport 1001:1200 -j dnat_chain
  .
  .
  .
[/code:1]

这样可以减少主链的匹配次数。
还可以把端口范围划小一点，比如每 50 个开一个新链……

另外，主链的规则最好明确定义适用接口，如 -i eth0。

000zzz

谢谢dannycat

bst

楼主开这么多端口是不是很不安全。如果真想实现一一对应。既外网80--内网80
外网21--内网21也只需要打开对应的端口没必要把101-200这么多端口都打开。（不知道是不为可实验）
  

000zzz

感谢大家的支持！
我的要求只是一个例子而已，不是一定要打开这么多端口，但是打开连续端口这种要求是肯定存在的，比如对于VOIP的应用，如果是使用H323协议的话，IAD处于防火墙之后，防火墙就需要根据VOIP的话路数打开UDP 7000之后的连续端口，还有其他一些端口。