)
一、什么是内网转发
Linux内网转发是指将一台Linux服务器作为网络中转站,把从一个网卡或端口接收到的数据包,转发到另一个目标地址。它常被用于:让无公网IP的内网服务被外网访问、打通不同网段的隔离网络、或者隐藏真实业务服务器的IP。
二、开启内核IP转发
内网转发的第一步是开启Linux内核的IP转发功能,否则系统会丢弃非本机的数据包。
临时开启(重启失效):
```bash
echo 1 > /proc/sys/net/ipv4/ip_forward
```
永久开启(编辑 `/etc/sysctl.conf`):
```bash
net.ipv4.ip_forward = 1
sysctl -p 使配置生效
```
三、两种主要的转发方式
| 转发方式 | 实现工具 | 适用场景 | 特点 |
|---------|---------|---------|------|
| 端口转发 | iptables/firewalld | 将特定端口的流量转发到另一台服务器 | 精确控制,适合暴露内网服务 |
| IP转发+SNAT | iptables | 整个网段或所有流量通过中转服务器路由 | 让内网设备共享公网出口,或连接不同网段 |
1. iptables端口转发(TCP/UDP)
```bash
将访问本机8080端口的流量转发到内网192.168.1.100:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
iptables -t nat -A POSTROUTING -j MASQUERADE 关键:让返回包能正确路由
```
2. IP转发+SNAT(共享上网/网段互通)
如果想让内网其他设备通过这台Linux服务器上网,需要添加SNAT规则:
```bash
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
```
这条命令让从内网网段发出的流量,在经过eth0网卡出去时,源IP被替换为eth0的IP,从而实现“上网共享”。
四、应用场景举例
| 场景 | 解决方案 |
|------|---------|
| 外网访问内网Web服务 | 端口转发:公网IP:8080 → 内网服务器:80 |
| 内网设备通过一台服务器上网 | IP转发 + SNAT + 内网设备设置中转机为网关 |
| 打通两个不同网段的VPC | 中转服务器开启IP转发,配置静态路由 |
五、关键注意事项
- 防火墙放行:确保iptables或firewalld的FORWARD链允许转发流量
- 开启MASQUERADE:端口转发务必添加MASQUERADE规则,否则回包无法送达客户端
- SELinux干扰:可临时`setenforce 0`测试是否为SELinux导致转发失败
一句话总结:开启`ip_forward` → 用iptables添加DNAT+MASQUERADE规则 → 配置防火墙允许转发,即可实现Linux内网转发。
