IPTables - порт на другой ip & порт (изнутри)

В настоящее время у меня есть устройство NAS, работающее под портом 80. Чтобы получить доступ к NAS извне, я назначил порт 8080 порту 80 на NAS следующим образом:

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 10.32.25.2:80

Это работает как шарм. Однако это работает только в том случае, если я захожу на веб-сайт извне сети (на работе, в другом доме и т. Д.). Поэтому, когда я mywebsite.com:8080набираю, IPTables делает работу правильно, и все работает нормально.

Теперь у меня проблема, как я могу перенаправить этот порт изнутри сети? Мое доменное имя mywebsite.comуказывает на мой маршрутизатор (мой сервер Linux) изнутри (10.32.25.1), но я хочу перенаправить порт 8080 на порт 80 10.32.25.2 изнутри.

Любая подсказка?

Редактировать # 1

Пытаясь помочь облегчить этот вопрос, я составил эту схему. Пожалуйста, не стесняйтесь обновлять, если это неправильно или искажает то, что вы ищете.

                                 iptables
                                     |                   .---------------.
    .-,(  ),-.                       v               port 80             |
 .-(          )-.        port 8080________               |               |
(    internet    )------------>[_...__...°]------------->|      NAS      |
 '-(          ).-'     10.32.25.2    ^   10.32.25.1      |               |
     '-.( ).-'                       |                   |               |
                                     |                   '---------------'
                                     |
                                     |
                                   __  _ 
                                  [__]|=|
                                  /::/|_|

Я наконец нашел, как. Во-первых, я должен был добавить -i eth1свое «внешнее» правило (eth1 - это мое WAN-соединение). Мне также нужно было добавить еще два правила. Вот, в конце концов, что я пришел с:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.32.25.2 --dport 80 -j MASQUERADE

Вы также забыли упомянуть, что перенаправление пакетов должно быть включено, чтобы иметь возможность выполнять NAT назначения. По умолчанию он обычно выключен, поэтому правила iptables работать не будут. Это может быть включено путем выдачи:

echo 1 > /proc/sys/net/ipv4/ip_forward

Сначала разрешите пересылку с

echo 1 > /proc/sys/net/ipv4/ip_forward

Затем установите приемлемые правила с

IF=eth1
PORT_FROM=8080
PORT_TO=80
DEST=10.32.25.2
iptables -t nat -A PREROUTING -i $IF -p tcp --dport $PORT_FROM -j DNAT --to $DEST:$PORT_TO
iptables -t nat -A POSTROUTING -p tcp -d $DEST --dport $PORT_TO -j MASQUERADE

Вы можете поместить эти строки, /etc/rc.localнапример. Примечание: поскольку Debian jessie сделал его исполняемым и включил службу rc.local через

systemctl enable rc-local.service

Сначала вам нужно убедиться, что у вас активирована переадресация:

cat /proc/sys/net/ipv4/ip_forward

Если нет 1, беги echo 1 > /proc/sys/net/ipv4/ip_forward.

Если вы хотите, чтобы трафик с 10.32.25.1 через порты 80 и 443 переадресовывался в порт 80.32.25.2, то вам следует воспользоваться приведенным ниже правилом:

iptables -t nat -A PREROUTING -d 10.32.25.1 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination 10.32.25.2:80