tcp转发

有部分接口需要暴露给用户不希望泄露源IP,同时加上高防因此需要一台高防服务器进行转发隐藏源IP同时带来高防防御开启转发echonet.ipv4.ip_forward 1/etc/sysctl.conf sysctl-piptables配置# 开放代理的端口-AINPUT-p tcp-m state--stateNEW-m tcp--dport13306-jACCEPT# 放行转发链允许转发去往MySQL服务器的流量安全考虑建议精确放行-AFORWARD-p tcp-d xxxx--dport3306-jACCEPT-AFORWARD-p tcp-s xxxx--sport3306-jACCEPT*nat:PREROUTINGACCEPT[0:0]:POSTROUTINGACCEPT[0:0]:OUTPUTACCEPT[0:0]# 核心转发将到达本机13306的流量目标改为 xxxx:3306-APREROUTING-p tcp--dport13306-jDNAT--to-destination xxxx:3306# 源地址伪装让回包能正确返回经过本机-APOSTROUTING-p tcp-d xxxx--dport3306-jMASQUERADECOMMIT