6.7. Configuración del reenvío de puertos mediante nftables
El reenvío de puertos permite a los administradores reenviar los paquetes enviados a un puerto de destino específico a un puerto local o remoto diferente.
Por ejemplo, si su servidor web no tiene una dirección IP pública, puede establecer una regla de reenvío de puertos en su cortafuegos que reenvíe los paquetes entrantes en los puertos 80
y 443
del cortafuegos al servidor web. Con esta regla del cortafuegos, los usuarios de Internet pueden acceder al servidor web utilizando la IP o el nombre de host del cortafuegos.
6.7.1. Reenvío de paquetes entrantes a un puerto local diferente
Esta sección describe un ejemplo de cómo reenviar paquetes IPv4 entrantes en el puerto 8022
al puerto 22
en el sistema local.
Procedimiento
Cree una tabla llamada
nat
con la familia de direccionesip
:# nft add table ip nat
Añade las cadenas
prerouting
ypostrouting
a la tabla:# nft -- add chain ip nat prerouting { type nat hook prerouting priority -100 \; }
NotaPase la opción
--
al comandonft
para evitar que el shell interprete el valor de prioridad negativo como una opción del comandonft
.Añade una regla a la cadena
prerouting
que redirige los paquetes entrantes en el puerto8022
al puerto local22
:# nft add rule ip nat prerouting tcp dport 8022 redirect to :22