Centos7配置端口转发功能实践

好的，在 CentOS 7 上配置端口转发有多种方法，每种方法都有其适用的场景。本文将详细介绍三种最主流和实用的方法，并提供清晰的实践步骤。

方法概览

使用 firewalld (推荐)：CentOS 7 默认的防火墙管理工具，配置简单、动态生效，适合生产环境和临时规则。
**使用 iptables**：传统的 Linux 防火墙工具，功能强大且灵活，但需要手动管理规则持久化，适合需要精细控制的场景。
**使用 socat**：一个多功能的网络工具，可以实现复杂的端口转发和协议转换，适合临时测试和特定协议转发。

方法一：使用 firewalld (推荐)

firewalld 是 CentOS 7 的默认防火墙，它使用“区域”和“服务”的概念，管理起来比 iptables 更直观。端口转发通过 direct rules 或直接配置富规则来实现。

场景描述

将到达本机 公网 IP 的 8080 端口 的流量，转发到内网服务器 192.168.1.100 的 80 端口。

实践步骤

确保 firewalld 已安装并运行 # 检查状态 sudo systemctl status firewalld # 如果未运行，则启动并设置开机自启 sudo systemctl start firewalld sudo systemctl enable firewalld
启用 IP 伪装 (Masquerading) – 如果需要转发到不同网段
如果内部网络（如 192.168.1.0/24）需要通过本机网关访问外网，IP 伪装是必要的。对于单纯的入站转发，此步可能不是必须，但开启也无妨。 sudo firewall-cmd --permanent --add-masquerade
添加端口转发规则
我们将使用 --add-forward-port 参数，这是最直接的方式。 sudo firewall-cmd --permanent --add-forward-port=port=8080:proto=tcp:toaddr=192.168.1.100:toport=80 参数解释：
- --add-forward-port: 添加端口转发规则。
- port=8080: 本机监听的端口。
- proto=tcp: 协议类型 (tcp 或 udp)。
- toaddr=192.168.1.100: 目标服务器的 IP 地址。
- toport=80: 目标服务器的端口。
重新加载 firewalld 使配置生效
--permanent 参数表示永久生效，但需要重载配置才能应用。 sudo firewall-cmd --reload
验证规则 # 查看所有永久规则 sudo firewall-cmd --list-all --permanent # 查看当前活动的规则（包含运行时和永久的） sudo firewall-cmd --list-all 在输出中，你应该能在 forward-ports: 部分看到你刚刚添加的规则。

防火墙策略补充

确保 public 区域的默认入站策略允许 8080 端口的流量，或者将 8080 端口加入到允许的服务/端口列表中。

# 将 8080/tcp 端口永久加入允许列表
sudo firewall-cmd --permanent --add-port=8080/tcp

# 再次重载
sudo firewall-cmd --reload

# 确认端口已在允许列表中
sudo firewall-cmd --list-ports

方法二：使用 iptables

iptables 规则直接作用于内核的 Netfilter 系统。在 CentOS 7 上，默认使用 firewalld，但你仍然可以安装和使用 iptables-services。

场景描述

与方法一相同：将本机 8080 端口 的 TCP 流量转发到 192.168.1.100:80。

实践步骤

停止并禁用 firewalld，安装 iptables-services # 停止 firewalld sudo systemctl stop firewalld sudo systemctl disable firewalld # 安装 iptables sudo yum install iptables-services -y # 启动 iptables 并设置开机自启 sudo systemctl start iptables sudo systemctl enable iptables
编写端口转发规则
iptables 的端口转发需要两条核心规则：一条在 nat 表的 PREROUTING 链（用于修改目的地址），另一条在 filter 表的 FORWARD 链（用于允许转发的流量通过）。 # 1. 在 nat 表中，将目标地址为 8080 的包转发到 192.168.1.100:80 sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80 # 2. 在 filter 表中，允许对 192.168.1.100:80 的转发流量 sudo iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # 3. (可选但推荐) 如果本机是网关，需要开启 IP 伪装以处理回包路由 sudo iptables -t nat -A POSTROUTING -j MASQUERADE
保存 iptables 规则
iptables 规则默认是临时的，重启后会丢失。必须保存它们。 # 保存规则到 /etc/sysconfig/iptables 文件 sudo service iptables save # 或者使用 iptables-save 命令 sudo iptables-save > /etc/sysconfig/iptables 下次系统启动时，iptables 服务会自动从此文件加载规则。
验证规则 # 查看 nat 表的规则 sudo iptables -t nat -L -n -v # 查看 filter 表的规则 sudo iptables -L -n -v

方法三：使用 socat

socat 是一个强大的命令行工具，被称为 “netcat++”。它非常适合快速创建临时的端口转发。

场景描述

将本机的 8080 端口 转发到 192.168.1.100 的 80 端口。

实践步骤

安装 socat sudo yum install socat -y
启动端口转发
在一个终端窗口中执行以下命令。这个命令会阻塞当前终端，并将所有到达本机 8080 端口的 TCP 连接转发到目标地址。 sudo socat TCP4-LISTEN:8080,fork TCP4:192.168.1.100:80 参数解释：
- TCP4-LISTEN:8080: 监听 IPv4 的 8080 端口。
- fork: 为每个新的连接创建一个子进程来处理，允许多个并发连接。
- TCP4:192.168.1.100:80: 将数据转发到目标 IP 和端口。
测试与后台运行
- 测试：在另一个机器上用 curl http://<本机IP>:8080，应该能看到 192.168.1.100:80 返回的网页内容。
- 后台运行：为了在后台持续运行，可以使用 & 或 screen/tmux 等工具。 sudo socat TCP4-LISTEN:8080,fork TCP4:192.168.1.100:80 &
- 作为系统服务：对于长期需求，最好创建一个 systemd 服务文件来管理 socat 进程，以确保其稳定运行和开机自启。

优点与缺点

优点：极其简单，无需理解复杂的防火墙表，适合快速测试和一次性任务。
缺点：不适合管理大量规则，进程管理不如系统服务方便，性能可能不如内核级别的 iptables/firewalld。

总结与选择

特性	firewalld	iptables	socat
易用性	★★★★★ (最简单)	★★★☆☆ (规则复杂)	★★★★★ (命令简单)
持久化	自动 (`--permanent`)	手动 (`service save`)	需自建服务
灵活性	★★★★☆	★★★★★ (最灵活)	★★★☆☆ (适合简单转发)
适用场景	生产环境、长期规则	精细控制、无 firewalld 环境	临时测试、简单任务