端口映射

　　有机器不能直接访问其余网段的服务器，须要用台机器作“跳板”。特记录windows及centos下的操做。

　　场景以下：在SRV_a上设置端口映射后，client经过访问SRV_a的port1端口便可达到访问SRV_b的port2的目的。全部操做均在SRV_a上。

1. windows：须要开启路由服务。经过netsh命令进行设置：
   • 添加映射：netsh interface portproxy add v4tov4 listenaddress=0.0.0.0(或SRV_a) listenport=port1 connectaddress=SRV_b connectport=port2
   • 删除映射：netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0(或者SRV_a) listenport=port1
   • 查看映射：netsh interface portproxy show all
   • 补充说明：必须增长路由服务的角色，同时必须保证IP Helper服务是启动的（若是禁用，会出现一切命令正常，但始终没有端口侦听，netstat -na看不到listenport）。
2. Centos：经过iptables功能实现：
   • 开启linux转发功能：
     
     • 临时开启：echo 1 >/proc/sys/net/ipv4/ip_forward
     • 永久开启：修改/etc/sysctl.conf，增长或修改net.ipv4.ip_forward = 1；执行sysctl -p使之马上生效
   • 添加映射（执行命令）：
     
     • iptables -t nat -A POSTROUTING -j MASQUERADE
     • iptables -t nat -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_a:port2
   • 添加映射（修改配置文件/etc/sysconfig/iptables）：注意粗体字部分
     

     *nat
     :PREROUTING ACCEPT [516:31248] :INPUT ACCEPT [516:31248]
     :OUTPUT ACCEPT [94:7051]
     :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -m tcp --dport port1 -j DNAT --to-destination SRV_b:port2 -A POSTROUTING -j MASQUERADE
     COMMIT
     # Completed on Thu Jun 27 14:43:55 2019
     # Generated by iptables-save v1.4.21 on Thu Jun 27 14:43:55 2019
     *filter
     :INPUT ACCEPT [5952:597704]
     :FORWARD ACCEPT [15:2307]
     :OUTPUT ACCEPT [4382:425946]
     COMMIT
     # Completed on Thu Jun 27 14:43:55 2019

   • 查看映射：iptables -L -n --line-number
   • 删除映射：指定删除编号为2的FORWORD规则，iptables -D FORWARD 2
   • 插入规则：sudo iptables -I INPUT 13 -s x.x.x.x/32 -p tcp -m tcp --dport port -j ACCEPT
   • 重启iptables服务：service iptables restart