iptables实现端口转发/节点中转

由于各个运营商的网络QOS不同，所以很多时候我们不能保证节点的速度，出墙是一方面，还要重要的一点是翻回去。别看国内BGP一片绿，除非是CN2，否则延迟也是稀烂。

这时如果有一台VPS用作中转，这样就能达到稳定且快速的效果。

这里，我们介绍一个使用iptables来进行中转的教程。使用iptables的好处就是不用额外装东西，且同时支持tcp及udp。回国线路最好是拿一台国际网络优化的香港来中转国内，这样就很舒服了。

关于CentOS 7系统：需要删除firewalld装回iptables.

# 安装命令：

systemctl stop firewalld.service
systemctl disable firewalld.service
yum install iptables-services -y
systemctl enable iptables.service

第一步：开启系统的转发功能

首先，先确认服务器是否已开启转发，运行：

sysctl net.ipv4.ip_forward
# 如果已经启动则显示
> net.ipv4.ip_forward = 1
# 如果没有启动则显示
> net.ipv4.ip_forward = 0

# CentOS 6/Debian/Ubuntu 开启方式：

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

# CentOS 7 开启方式：

echo "net.ipv4.ip_forward = 1" >> /usr/lib/sysctl.d/cloudiplc.conf
sysctl -p /usr/lib/sysctl.d/cloudiplc.conf

首先我们设置一下iptables 防火墙的开机启动自动载入规则功能。

CentOS 系统：

 service iptables save
 service iptables restart

Debian/Ubuntu使用：

iptables-save > /etc/iptables.up.rules
iptables-restore < /etc/iptables.up.rules

第二步： 加入iptables规则

总体是这样的：

iptables -t nat -A PREROUTING -p tcp --dport [端口号] -j DNAT --to-destination [目标IP]
iptables -t nat -A PREROUTING -p udp --dport [端口号] -j DNAT --to-destination [目标IP]
iptables -t nat -A POSTROUTING -p tcp -d [目标IP] --dport [端口号] -j SNAT --to-source [本地服务器IP]
iptables -t nat -A POSTROUTING -p udp -d [目标IP] --dport [端口号] -j SNAT --to-source [本地服务器IP]

* 如服务器是内网IP(例如NAT-VPS),请用ifconfig或ip addr确认走公网流量网卡的内网IP(本地服务器IP)，比如阿里云这些，内网IP一般为10.xx.xx.xx

例如单端口同端口转发： 将本地服务器(中转服务器2.2.2.2)的10000端口转发至目标IP(节点服务器)为1.1.1.1的30000端口

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 10000 -j DNAT --to-destination 1.1.1.1:30000
iptables -t nat -A PREROUTING -p udp -m udp --dport 10000 -j DNAT --to-destination 1.1.1.1:30000
iptables -t nat -A POSTROUTING -d 1.1.1.1 -p tcp -m tcp --dport 30000 -j SNAT --to-source 2.2.2.2
iptables -t nat -A POSTROUTING -d 1.1.1.1 -p udp -m udp --dport 30000 -j SNAT --to-source 2.2.2.2

例如端口范围不同端口转发：

将本地服务器(中转服务器2.2.2.2)的10000~20000端口转发至目标IP(节点服务器)为1.1.1.1的30000~40000端口

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 10000:20000 -j DNAT --to-destination 1.1.1.1:30000-40000
iptables -t nat -A PREROUTING -p udp -m udp --dport 10000:20000 -j DNAT --to-destination 1.1.1.1:30000-40000
iptables -t nat -A POSTROUTING -d 1.1.1.1 -p tcp -m tcp --dport 30000:40000 -j SNAT --to-source 2.2.2.2
iptables -t nat -A POSTROUTING -d 1.1.1.1 -p udp -m udp --dport 30000:40000 -j SNAT --to-source 2.2.2.2

这个时候你Shadowsocks客户端填写Shadowsocks信息的时候，IP应该填中转服务器IP，端口应该填中转服务器端口，而中转服务器是不用安装酸酸乳的，只需要节点服务器安装。

第三步：修改后记得保存 iptables配置，免得重启后没了。

CentOS 系统：

service iptables save

Debian/Ubuntu 系统：

iptables-save > /etc/iptables.up.rules

1.查看NAT规则

iptables -t nat -vnL POSTROUTING
iptables -t nat -vnL PREROUTING

2.删除NAT规则：

通过上面的查看规则命令，查看规则后，确定你要删除的规则的顺序，下面的命令是删除第四个规则。

iptables -t nat -D POSTROUTING 4
iptables -t nat -D PREROUTING 4

注意事项（必读）：
1、本站所展示的一切软件、教程和内容信息等资源均仅限用于学习和研究目的，请在下载后24小时内自觉删除；不保证其完整性及可用性，本平台不提供任何技术支持，若作商业用，请到原网站购买，由于未获授权而发生的侵权行为与本站无关。如有侵权请联系vip#mmeasy.cn（将#替换成@），我们将及时处理。
2、一切网盘资源请勿在线解压！在线解压会提示文件损坏或密码错误，特别注意若压缩包名带part1或z01这样的标识，则均为分卷压缩包，需要下载每个文件夹下的所有压缩包后，用WinRAR软件解压part1或zip即可释放当前文件夹下所有压缩包的内容！
3、如果链接失效，遇到资源失效可提交工单处理。
4、强烈建议在本站注册成为会员后再购买，游客购买只能短期保留记录，如超期或购买后自行清空浏览器缓存，将恢复购买前状态！
本文链接：https://www.mmeasy.cn/3834.html