Ich möchte den Datenverkehr mit iptables weiterleiten, ohne dem sendenden Host eine andere IP/einen anderen Port anzuzeigen.
Meine Anwendung lauscht über TCP auf Host xx15.42, Port 23555. Der Client stellt eine Verbindung zu xx15.42:5555 her. Ich möchte, dass die Verbindung an Port 23555 weitergeleitet wird, ohne dass dieser Port dem Client zugänglich gemacht wird.
Ich habe bereits versucht, DNAT zu verwenden:
iptables -t nat -A PREROUTING -p tcp --dport 5555 -j DNAT --to-destination x.x.15.42:23555
Dem Client wird jedoch angezeigt, dass eine Verbindung zu Port 23555 hergestellt wird.
Ich habe auch versucht, REDIRECT zu verwenden, aber aus irgendeinem Grund funktioniert das überhaupt nicht. Der Client kann keine Verbindung herstellen.
iptables -t nat -A PREROUTING -p tcp --dport 5555 -d x.x.15.42 -j REDIRECT --to-port 23555
Wie leite ich diesen Datenverkehr weiter und sorge gleichzeitig dafür, dass es so aussieht, als würde die Anwendung auf Port 5555 lauschen?
Antwort1
Die erste Firewall-Regel, die ich verwendet habe, funktioniert also:
iptables -t nat -A PREROUTING -p tcp --dport 5555 -j DNAT --to-destination x.x.15.42:23555
Das einzige Problem war tatsächlich, dass der Server dem Client sagte, er solle sich mit Port 23555 verbinden, statt mit Port 5555, wie ich es wollte. Das Problem wird behoben, wenn ich das auf dem Server ändere.
Antwort2
Ich bin nur ein Anfänger in iptables, könnten Sie also Folgendes versuchen:
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5555 -j DNAT --to x.x.15.42:23555
iptables -A FORWARD -p tcp -d x.x.15.42 --dport 23555 -j ACCEPT
Beide Zeilen werden benötigt (ich denke, es liegt am Fehlen der Option FORWARD, die dies verursacht), obwohl ich nicht sicher bin, ob die Schnittstellenoption -i eth0notwendig ist