- 在 Linux 中,
nftables是一种用于管理防火墙的现代框架,可以实现灵活且高效的网络包过滤和端口转发。以下是使用nftables配置端口转发的基本步骤。
示例:将中转机IP(2.2.2.2)的端口(2222)的流量转发到落地机IP(6.6.6.6)的(6666)端口上
1.安装 nftables
确保系统已经安装nftables。在大多数 Linux 发行版中可以通过以下命令安装(Debian12 已默认自带,不用额外安装):
apt install nftables # 对于 Debian/Ubuntu
yum install nftables # 对于 CentOS/RHEL2.启用并启动 nftables
确保nftables服务已启用并运行:
systemctl enable nftables
systemctl start nftables3.创建或编辑配置文件
编辑nftables配置文件,通常位于/etc/nftables.conf,或者创建一个新的配置文件。
以下是一个端口转发的配置示例:
#!/usr/sbin/nft -f
flush ruleset
# 创建一个名为 "fowardaws" 的表,用于转发流量
table ip fowardaws {
# 在 prerouting 链中配置 DNAT(目的地址转换)
chain prerouting {
# 设置该链的类型为 NAT(网络地址转换),并在 prerouting 阶段生效
type nat hook prerouting priority -100; # priority -100 表示较早匹配规则
# 将本机也就是中转机2222端口流量转发到落地机IP(6.6.6.6)的6666端口上
tcp dport 2222 dnat to 6.6.6.6:6666
udp dport 2222 dnat to 6.6.6.6:6666
# 上述两行规则会将访问本机 2222 端口的 TCP/UDP 流量重定向到指定的远程服务器端口
}
# 在 postrouting 链中配置 SNAT(源地址转换)
chain postrouting {
# 设置该链的类型为 NAT,并在 postrouting 阶段生效
type nat hook postrouting priority 100; # priority 100 表示在路由后生效
# 使用 masquerade(伪装)机制,将流向(目的机器的ip) 的流量的源地址转换为本机的出站 IP 地址
ip daddr 6.6.6.6 masquerade
# masquerade 的效果是隐藏本地 IP,使目标服务器看到的是中转机的外网 IP,而非局域网 IP
}
}4.加载配置
保存文件后,通过以下命令加载配置:
nft -f /etc/nftables.conf5.验证规则
使用以下命令查看当前nftables规则是否正确加载:
nft list ruleset说明
prerouting链:用于修改进入主机的数据包,适合端口转发。postrouting链:用于修改发出主机的数据包,通常用于地址伪装 (SNAT)。- 确保内核模块支持转发,可通过以下命令启用:
echo 1 > /proc/sys/net/ipv4/ip_forward或在
/etc/sysctl.conf中添加:net.ipv4.ip_forward=1然后运行
sysctl -p使其生效。
仅限交流学习使用,如您在使用本工具或代码的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。“如侵权请私聊公众号删文”。
原文始发于微信公众号(柠檬赏金猎人):利用nftables配置端口转发
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论