Red Hat Summit6.6. nftables を使用したポート転送の設定
ポート転送を使用すると、管理者は特定の宛先ポートに送信されたパケットを、別のローカルまたはリモートポートに転送できます。
たとえば、Web サーバーにパブリック IP アドレスがない場合は、ファイアウォールのポート
80 および 443 で着信パケットを Web サーバーに転送するファイアウォールにポート転送ルールを設定できます。このファイアウォールルールを使用すると、インターネットのユーザーは、ファイアウォールの IP またはホスト名を使用して Web サーバーにアクセスできます。
6.6.1. 着信パケットの別のローカルポートへの転送
本セクションでは、ポート
8022 の着信 IPv4 パケットをローカルシステムのポート 22 に転送する方法を説明します。
手順6.17 着信パケットの別のローカルポートへの転送
- IP アドレスファミリーを使用して、
natという名前のテーブルを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft add table ip nat
# nft add table ip nat - テーブルに
preroutingおよびpostroutingチェーンを追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft -- add chain ip nat prerouting { type nat hook prerouting priority -100 \; }# nft -- add chain ip nat prerouting { type nat hook prerouting priority -100 \; }注記nft コマンドに--オプションを渡して、シェルが優先度の負の値を nft コマンドのオプションとして解釈しないようにします。 8022ポートの着信パケットをローカルポート22にリダイレクトするルールをpreroutingチェーンに追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft add rule ip nat prerouting tcp dport 8022 redirect to :22
# nft add rule ip nat prerouting tcp dport 8022 redirect to :22
6.6.2. 特定のローカルポートで着信パケットを別のホストに転送
宛先ネットワークアドレス変換 (DNAT) ルールを使用して、ローカルポートの着信パケットをリモートホストに転送できます。これにより、インターネット上のユーザーは、プライベート IP アドレスを持つホストで実行しているサービスにアクセスできるようになります。
この手順では、ローカルポート
443 の着信 IPv4 パケットを、IP アドレス 192.0.2.1 を持つリモートシステムの同じポート番号に転送する方法を説明します。
前提条件
- パケットを転送するシステムに
rootユーザーとしてログインしている。
手順6.18 特定のローカルポートで着信パケットを別のホストに転送
- IP アドレスファミリーを使用して、
natという名前のテーブルを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft add table ip nat
# nft add table ip nat - テーブルに
preroutingおよびpostroutingチェーンを追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft -- add chain ip nat prerouting { type nat hook prerouting priority -100 \; } nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }# nft -- add chain ip nat prerouting { type nat hook prerouting priority -100 \; } # nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }注記nft コマンドに--オプションを渡して、シェルが優先度の負の値を nft コマンドのオプションとして解釈しないようにします。 - ポート
443の着信パケットを192.0.2.1の同じポートにリダイレクトするルールをpreroutingチェーンに追加します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft add rule ip nat prerouting tcp dport 443 dnat to 192.0.2.1
# nft add rule ip nat prerouting tcp dport 443 dnat to 192.0.2.1 postroutingチェーンにルールを追加して、送信トラフィックをマスカレードします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow nft add rule ip nat postrouting ip daddr 192.0.2.1 masquerade
# nft add rule ip nat postrouting ip daddr 192.0.2.1 masquerade- パケット転送を有効にします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
# echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}