使用 iptables 更改目标端口

Question

是否可以使用 iptables 更改 UDP 数据包的目标端口？

我正在尝试让 SNMP 代理在 1620 而不是 162 上发送陷阱。不幸的是，到目前为止我只能更改源端口：

iptables -t nat -A POSTROUTING -p udp --dport 162 -j SNAT --to :1620

Answer 1

假设您知道要发送到哪台机器：

iptables -t nat -A OUTPUT -p udp --dport 162 -j DNAT --to-destination <dest-ip>:1620

Answer 2

您可以将 162 重定向到 1620

iptables -t nat -A PREROUTING -p UDP --dport 162 -j REDIRECT --to-port 1620

Answer 3

显然不支持这种用法。 取自 http://www.netfilter.org/documentation/HOWTO/NAT- HOWTO.txt：

6.3.7。 更改本地生成的连接的目标

NAT 代码允许您插入
DNAT 规则在 OUTPUT 链中，但是
2.4 中不完全支持这一点（它
可以，但是需要一个新的
配置选项，一些测试，
和相当多的编码，所以除非
有人与 Rusty 签约来写它，我
没想到很快）。

当前的限制是您
只能将目的地更改为
本地机器（例如`j DNAT --to
127.0.0.1')，不要发送到任何其他机器，否则回复不会
翻译正确。

Answer 4

@PiedPiper 是对的。 使用 DNAT 时，您必须指定 IP 地址，但我们只想进行端口重定向，因此 -j REDIRECT 在这种情况下可能有效。

请参阅 http://www.netfilter.org/文档/HOWTO//NAT-HOWTO-6.html#ss6.2

Answer 5

尝试使用 DNAT，而不是进行 SNAT。 源端口发生更改，因为 SNAT 意味着 SourceNAT，因此 DNAT 将为您工作。

Answer 6

您可以设置转移规则，然后使用修改后的端口重新注入数据包。

我之前在 Mac OS X 上做过这个，但在 Linux 上也是同样的原理：
http://blog.dv8。 ro/2006/08/using-divert-sockets-on-mac-os-x.html

您基本上需要创建一个非常简单的透明代理。