当直连访问某些服务网络不佳时,可以通过第三方服务器进行中转来改善连接。而恰恰服务器本身的防火墙支持端口转发功能,能处理 TCP/UDP 流量,并支持单个端口或端口范围的中转。这样,原本直接从本地 A 到远程 C 的路线变为本地 A - 中转 B - 远程 C,当然防火墙中转仅负责数据的透明转发,不会修改任何数据内容或远程 C 的信息,保证数据的完整性和原始性。
准备工作
1、基于 Debian 操作系统,安装启用 iptables 防火墙
apt-get install -y iptables
service iptables start
chkconfig iptables on2、清除默认规则
iptables -F
iptables -X
iptables -Z
iptables-save > /etc/iptables3、开启系统内核转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p /etc/sysctl.conf配置 iptables 中转
1、单端口中转、请修改相应内容并去除括号;
iptables -t nat -A PREROUTING -p tcp --dport [ 本机端口号 ] -j DNAT --to-destination [ 目标 IP: 端口 ]
iptables -t nat -A PREROUTING -p udp --dport [ 本机端口号 ] -j DNAT --to-destination [ 目标 IP: 端口 ]
iptables -t nat -A POSTROUTING -p tcp -d [ 目标 IP] --dport [ 目标端口号 ] -j SNAT --to-source [ 本机主网卡 IP]
iptables -t nat -A POSTROUTING -p udp -d [ 目标 IP] --dport [ 目标端口号 ] -j SNAT --to-source [ 本机主网卡 IP]2、端口段中转、请修改相应内容并去除括号;
iptables -t nat -A PREROUTING -p tcp -m tcp --dport [ 本机端口段开始: 本机端口段结束 ] -j DNAT --to-destination [ 目标 IP]
iptables -t nat -A PREROUTING -p udp -m udp --dport [ 本机端口段开始: 本机端口段结束 ] -j DNAT --to-destination [ 目标 IP]
iptables -t nat -A POSTROUTING -d [ 目标 IP] -p tcp -m tcp --dport [ 目标端口段开始: 目标端口段结束 ] -j SNAT --to-source [ 本机主网卡 IP]
iptables -t nat -A POSTROUTING -d [ 目标 IP] -p udp -m udp --dport [ 目标端口段开始: 目标端口段结束 ] -j SNAT --to-source [ 本机主网卡 IP]3、保存并重载 iptables
iptables-save > /etc/iptables
iptables-restore < /etc/iptables4、查看和删除 iptables 规则
iptables -nL --line-number #查看 Iptables 规则
iptables -t nat -vnL #查看 NAT(转发)规则
iptables -t nat -D POSTROUTING [ 规则列号 ] #删除单条,初始号为 1
iptables -t nat -F #删除全部 5、设置开机自启规则
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables命令行编辑文件:nano /etc/network/if-pre-up.d/iptables,输入以下内容保存:
#!/bin/sh
/sbin/iptables-restore < /etc/iptablesiptables 转发一键脚本
wget -N --no-check-certificate https://laoit.org/script/iptables-pf.sh && chmod +x iptables-pf.sh && bash iptables-pf.sh正文完
