So leiten Sie den Port von enp7s0 zu localhost:80 weiter

Question

Sie haben einen Fehler in den natRegeln: Ihre Schnittstellennamen scheinen falsch zu sein. Verwenden Sie besser die DNATauf der Zieladresse basierenden, nicht den Namen der Eingabeschnittstelle. Sie benötigen also nur eine einzige Regel, um das gewünschte Ergebnis zu erzielen:

iptables -t nat -A PREROUTING --dst 192.168.29.167 -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:80

Diese Pakete werden nicht weitergeleitet (transitiert), sondern eingegeben. Sie sollten diesen Datenverkehr in der filter/INPUTKette zulassen, nicht in filter/FORWARD. Beachten Sie, dass DNATsich die Eingabeschnittstelle nach der Aktion nicht ändert (Sie sollten also enp7s0die Schnittstelle angeben, nicht lo). Sie können jedoch jede DNATVerbindung mit einer einzigen Regel zulassen.

iptables -t filter -A INPUT -m conntrack --ctstate DNAT -j ACCEPT

Führen Sie den aus, sysctl -w net.ipv4.conf.enp7s0.route_localnet=1um den Empfang von Paketen von außerhalb zu ermöglichen, die an adressiert sind 127.0.0.1.
Verwenden Sie besser iptables-save -cBefehle, um den vollständigen Regelsatz mit Zählern aufzulisten. Sie sollten nat/PREROUTINGzumindest eine Erhöhung der Regelzähler sehen. Verwenden Sie außerdem die , iptables-applyum neue Regeln anzuwenden. Lesen Sie die Dokumentation zu diesen Dienstprogrammen.
Verwenden Sie dies tcpdump -ni enp7s0 'tcp port 80', um den Datenverkehr von außen zu beheben.
Um den lokal generierten Datenverkehr umzuleiten, sollten Sie diese Regeln verwenden

  iptables -t nat -A OUTPUT -p tcp --dport 80 --dst 192.168.29.167 -j DNAT --to 127.0.0.1

Andernfalls können Sie vom Server selbst aus keine Verbindung zu Ihrem Nginx über die Adresse 192.168.29.167 herstellen.

Answer 1

Sie haben einen Fehler in den natRegeln: Ihre Schnittstellennamen scheinen falsch zu sein. Verwenden Sie besser die DNATauf der Zieladresse basierenden, nicht den Namen der Eingabeschnittstelle. Sie benötigen also nur eine einzige Regel, um das gewünschte Ergebnis zu erzielen:

iptables -t nat -A PREROUTING --dst 192.168.29.167 -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:80

Diese Pakete werden nicht weitergeleitet (transitiert), sondern eingegeben. Sie sollten diesen Datenverkehr in der filter/INPUTKette zulassen, nicht in filter/FORWARD. Beachten Sie, dass DNATsich die Eingabeschnittstelle nach der Aktion nicht ändert (Sie sollten also enp7s0die Schnittstelle angeben, nicht lo). Sie können jedoch jede DNATVerbindung mit einer einzigen Regel zulassen.

iptables -t filter -A INPUT -m conntrack --ctstate DNAT -j ACCEPT

Führen Sie den aus, sysctl -w net.ipv4.conf.enp7s0.route_localnet=1um den Empfang von Paketen von außerhalb zu ermöglichen, die an adressiert sind 127.0.0.1.
Verwenden Sie besser iptables-save -cBefehle, um den vollständigen Regelsatz mit Zählern aufzulisten. Sie sollten nat/PREROUTINGzumindest eine Erhöhung der Regelzähler sehen. Verwenden Sie außerdem die , iptables-applyum neue Regeln anzuwenden. Lesen Sie die Dokumentation zu diesen Dienstprogrammen.
Verwenden Sie dies tcpdump -ni enp7s0 'tcp port 80', um den Datenverkehr von außen zu beheben.
Um den lokal generierten Datenverkehr umzuleiten, sollten Sie diese Regeln verwenden

  iptables -t nat -A OUTPUT -p tcp --dport 80 --dst 192.168.29.167 -j DNAT --to 127.0.0.1

Andernfalls können Sie vom Server selbst aus keine Verbindung zu Ihrem Nginx über die Adresse 192.168.29.167 herstellen.

verwandte Informationen

Typ	Schnittstelle	Adresse
`local`	`lo`	`127.0.0.1`
`NIC` `lan`	`enp7s0`	`192.168.29.167`