YNOTES笔记

#### 需求: **`【主机A】【端口Y】(PUBLIC_IP_A:PORT_Y)`只针对`【主机B】(PUBLIC_IP_B)`开放访问权限,如果`【用户C】`需要访问`【主机A】【端口Y】(PUBLIC_IP_A:PORT_Y)`?** &emsp; #### 解决方案: **`【主机B】`上使用iptables做一个端口映射(`主机B:端口X--映射-->主机A:端口Y`)** &emsp; #### 实施步骤(主机B): ##### 1.内核开放转发参数 ```bash sysctl -w net.ipv4.ip_forward=1 ``` ##### 2.配置FULLNAT ```bash #添加FULLNAT iptables -t nat -A PREROUTING -d $PUBLIC_IP_B -p tcp -m tcp --dport $PORT_X -j DNAT --to-destination $PUBLIC_IP_A:$PORT_Y iptables -t nat -A POSTROUTING -d $PUBLIC_IP_A -p tcp -m tcp --dport $PORT_Y -j SNAT --to-source $PUBLIC_IP_B ``` ##### 3.配置转发通过策略 ```bash iptables -A FORWARD -p tcp -m tcp --sport $PORT_Y -j ACCEPT iptables-A FORWARD -p tcp -m tcp --dport $PORT_Y -j ACCEPT ```