IPtables:转发到另一个主机的端口不工作

Question

我正在尝试一些东西，所以这是我的测试设置：

设置：

• 我有一个带有公共和私有子网的AWS VPC。
• 我在公共子网中有一个具有公共IP地址的主机(例如主机A)
• 我有一个私有子网中的主机在端口80上运行nginx (例如主机B具有IP地址10.0.1.132 )。

我想做什么

我想通过访问主机A从因特网上访问主机B上的the服务器。

How

我在主机A上设置了systctl.conf中的IP转发参数，然后放在iptables规则下面：

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.132:80

发行：

它不工作，当我访问端口80上的主机A时，我无法打开WebPage

其他信息(关于AWS安全组)：

• 我可以从port 80访问host A的0.0.0.0/0
• 我可以通过port 80向外访问host A到10.0.1.0/24
• 我可以从port 80访问host B上的host A

下面是内核信息：

# sysctl  -p | grep forward
net.ipv4.ip_forward = 1

另外，我还可以在80端口上从主机A到80端口的主机B进行电信。因此，这证明我的AWS安全组正在按预期工作。

我想我在IPtables上出了问题。可以帮我找出上面的设置有什么问题。

Answer 1

你知道私有主机应该是…吗？

• …默认路由指向路由器吗？
• …是SNATed，这样它的答复就会被退回吗？

Answer 2

我想我在IPtables上出了问题。可以帮我找出上面的设置有什么问题。

没错，流量将通过，但随后会被IPTables阻塞。您需要一个可以接受NAT流量的前向规则：

iptables -A FORWARD -p tcp -m tcp -d 10.0.1.132:80 -j ACCEPT

请注意，-A可能是不正确的，您可能需要-I (插入)，然后在“前进”之后提供一个数字，这表示在前向链中要插入规则的位置。(在滴滴之前)你可以用

iptables -L FORWARD -n --line-numbers