Linux配置本地端口映射

前言：在linux服務器上，1024以下的端口是禁止非root用戶使用的。所以如果想要使用80端口訪問tomcat，則修改conf/server.xml的端口為80，那麼只能使用root用戶；但是為了安全起見，一般都是使用其他用戶啟動tomcat，可以采用端口映射的方式，比如映射80到8080端口。
一、iptables命令

-t<表>：指定要操縱的表；
-A：向規則鏈中追加條目；
-D：從規則鏈中刪除條目；
-C: 檢查鏈中是否存在規則
-I：向規則鏈中插入條目；
-R：替換規則鏈中的條目；




-L：顯示規則鏈中已有的條目；
-F：清除規則鏈中已有的條目；
-Z：清空規則鏈中的數據包計算器和字節計數器；
-N：創建新的用戶自定義規則鏈；
-P：定義規則鏈中的默認目標；
-h：顯示幫助信息；
-p：指定要匹配的數據包協議類型，如-p tcp；
-s：指定要匹配的數據包源ip地址；
-j<目標>：指定要跳轉的目標；
-i<網絡接口>：指定數據包進入本機的網絡接口；
-o<網絡接口>：指定數據包要離開本機所使用的網絡接口。

iptables命令選項輸入順序：

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> sport 源端口 <-d 目標IP/目標子網> dport 目標端口 -j 動作

表名包括：

• raw：高級功能，如：網址過濾。
• mangle：數據包修改（QOS），用於實現服務質量。
• nat：地址轉換，用於網關路由器。
• filter：包過濾，用於防火牆規則。

規則鏈名包括：

• INPUT鏈：處理輸入數據包。
• OUTPUT鏈：處理輸出數據包。
• PORWARD鏈：處理轉發數據包。
• PREROUTING鏈：在進行路由判斷之前所要進行的規則（DNAT/REDIRECT）。
• POSTOUTING鏈：在進行路由判斷之後所要進行的規則（SNAT/MASQUERADE）。

動作包括：

• accept：接收數據包。
• DROP：丟棄數據包。
• REDIRECT：重定向、映射、透明代理。
• SNAT：源地址轉換。
• DNAT：目標地址轉換。
• MASQUERADE：IP偽裝（NAT），用於ADSL。
• LOG：日志記錄。

以上引用：http://man.linuxde.net/iptables
 
二、配置端口80轉發到8080

iptables -t nat -A PREROUTING -p tcp dport 80 -j REDIRECT to-ports 8080

操作表名nat，添加規則名PREROUTING,協議名tcp，轉發端口80，動作REDIRECT,到目標端口8080
此時，訪問http://ip 和http://ip:8080是一樣的。
禁用8080端口:

iptables -t manage -A PREROUTING -p tcp dport 8080 -j DROP

保存配置規則，
2.1 centos: 

service iptables save

 也可以編輯/etc/sysconfig/iptables
 
2.2 ubuntu:

sudo iptables-save > /etc/network/iptables.up.rules

 編輯/etc/network/interfaces
加入 pre-up iptables-restore < /etc/network/iptables.up.rules
保存退出。
 
三、刪除映射 
1、直接刪除

iptables -t nat -D PREROUTING -p TCP dport 80 -j REDIRECT to-port 8080

2、進入/etc/sysconfig/iptables刪除
3、通過line number刪除

iptables -L -n -v line-numbers

列出所有規則
如果要刪除input鏈裏的第一個規則，則使用如下：

iptables -D INPUT 1

記得保存規則