端口映射

　　有机器不能直接访问其他网段的服务器，需要用台机器做“跳板”。特记录windows及centos下的操作。

　　场景如下：在SRV_a上设置端口映射后，client通过访问SRV_a的port1端口即可达到访问SRV_b的port2的目的。所有操作均在SRV_a上。

1. windows：需要开启路由服务。通过netsh命令进行设置：
   • 添加映射：netsh interface portproxy add v4tov4 listenaddress=0.0.0.0(或SRV_a) listenport=port1 connectaddress=SRV_b connectport=port2
   • 删除映射：netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0(或者SRV_a) listenport=port1
   • 查看映射：netsh interface portproxy show all
   • 补充说明：必须增加路由服务的角色，同时必须保证IP Helper服务是启动的（如果禁用，会出现一切命令正常，但始终没有端口侦听，netstat -na看不到listenport）。
2. Centos：通过iptables功能实现：
   • 开启linux转发功能：
     
     • 临时开启：echo 1 >/proc/sys/net/ipv4/ip_forward
     • 永久开启：修改/etc/sysctl.conf，增加或修改net.ipv4.ip_forward = 1；执行sysctl -p使之立刻生效
   • 添加映射（执行命令）：
     
     • iptables -t nat -A POSTROUTING -j MASQUERADE
     • iptables -t nat -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_a:port2
   • 添加映射（修改配置文件/etc/sysconfig/iptables）：注意粗体字部分
     

     *nat
     :PREROUTING ACCEPT [516:31248]
     :INPUT ACCEPT [516:31248]
     :OUTPUT ACCEPT [94:7051]
     :POSTROUTING ACCEPT [0:0]
     -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_b:port2
     -A POSTROUTING -j MASQUERADE
     COMMIT
     # Completed on Thu Jun 27 14:43:55 2019
     # Generated by iptables-save v1.4.21 on Thu Jun 27 14:43:55 2019
     *filter
     :INPUT ACCEPT [5952:597704]
     :FORWARD ACCEPT [15:2307]
     :OUTPUT ACCEPT [4382:425946]
     COMMIT
     # Completed on Thu Jun 27 14:43:55 2019

   • 查看映射：

     iptables -L -n --line-number
     iptables -t nat -L --line-number

   • 删除映射：

     iptables -D FORWARD 2 #指定删除编号为2的FORWORD规则
     iptables -t nat  -D POSTROUTING 6 #删除nat表中类型为POSTROUTING的第6条规则

   • 插入规则：sudo iptables -I INPUT 13 -s x.x.x.x/32 -p tcp -m tcp --dport port -j ACCEPT
   • 重启iptables服务：service iptables restart