使用 iptables 实现 Linux 端口转发（端口映射）

在 Linux 系统中，可以通过 iptables 实现端口转发，也就是将发往本机某个端口的流量重定向到另一个 IP 地址或端口。这种技术常用于将外部请求转发到内网服务器、实现服务代理或绕过端口限制。

以下操作基于 Linux 内核自带的 netfilter/iptables 框架，适用于大多数主流发行版（如 CentOS、Ubuntu、Debian 等）。

1. 启用 IP 转发功能

在进行端口转发前，必须确保系统允许 IP 转发。修改内核参数：

临时启用（重启后失效）：

echo 1 > /proc/sys/net/ipv4/ip_forward

永久启用： 编辑

/etc/sysctl.conf

net.ipv4.ip_forward = 1

保存后执行以下命令使配置生效：

sysctl -p

2. 常见端口转发场景与 iptables 规则

假设你想将本机的 8080 端口流量转发到内网另一台机器 192.168.1.100 的 80 端口。

添加 PREROUTING 规则进行目标地址转换（DNAT）：

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80

如果需要从本机访问该转发地址，还需添加 SNAT 或 MASQUERADE 规则：

iptables -t nat -A POSTROUTING -d 192.168.1.100 -p tcp --dport 80 -j MASQUERADE

如果转发目标是本机内部服务（如本机监听 8080，想映射到本地 80），可使用 REDIRECT：

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

3. 查看与保存规则

查看 NAT 表规则：

iptables -t nat -L -n -v

保存规则（不同系统命令不同）：

• Ubuntu/Debian：

  iptables-save > /etc/iptables/rules.v4

• CentOS/RHEL：

  service iptables save

  或

  iptables-save > /etc/sysconfig/iptables

建议设置开机自动加载规则，或使用持久化工具如

netfilter-persistent

4. 注意事项

• 确保防火墙允许相关端口通信（检查 filter 表 FORWARD 链）。
• 若目标主机不在本机，必须启用 IP 转发，否则数据包无法路由。
• 使用

  DNAT

  时，通常需要配合

  MASQUERADE

  或

  SNAT

  避免回包路径问题。
• 规则顺序很重要，复杂环境建议先测试再上线。

基本上就这些。只要开启转发并正确设置 DNAT 和 SNAT，iptables 就能稳定实现端口映射功能。