← 返回文档首页

TCP/UDP端口转发指南

使用多种工具实现TCP和UDP端口转发,突破网络限制

端口转发是网络管理中的重要技术,可以将网络流量从一个端口转发到另一个端口或服务器,常用于负载均衡、网络加速、突破防火墙限制等场景。

基础概念

端口转发类型

  • 本地转发: 将本地端口流量转发到远程服务器
  • 远程转发: 将远程端口流量转发到本地服务器
  • 动态转发: 创建SOCKS代理进行动态转发

协议支持

  • TCP转发: 适用于HTTP、HTTPS、SSH等基于TCP的协议
  • UDP转发: 适用于DNS、游戏、视频流等基于UDP的协议
  • 混合转发: 同时支持TCP和UDP协议

iptables端口转发

启用IP转发

# 临时启用
echo 1 > /proc/sys/net/ipv4/ip_forward

# 永久启用
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

TCP端口转发

# 将本地8080端口转发到远程服务器的80端口
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.100 --dport 80 -j SNAT --to-source 本机IP

# 转发到外部服务器
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 8.8.8.8:80
iptables -t nat -A POSTROUTING -j MASQUERADE

# 查看NAT规则
iptables -t nat -L -n --line-numbers

UDP端口转发

# 将本地53端口转发到远程DNS服务器
iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination 8.8.8.8:53
iptables -t nat -A POSTROUTING -j MASQUERADE

# 游戏服务器UDP转发
iptables -t nat -A PREROUTING -p udp --dport 7777 -j DNAT --to-destination 192.168.1.200:7777
iptables -t nat -A POSTROUTING -p udp -d 192.168.1.200 --dport 7777 -j SNAT --to-source 本机IP

删除转发规则

# 删除指定规则(使用行号)
iptables -t nat -D PREROUTING 1

# 清空所有NAT规则
iptables -t nat -F

# 保存规则
iptables-save > /etc/iptables/rules.v4

SSH隧道转发

本地端口转发

# 将本地8080端口转发到远程服务器的80端口
ssh -L 8080:localhost:80 user@remote-server

# 转发到第三方服务器
ssh -L 8080:target-server:80 user@jump-server

# 后台运行
ssh -fN -L 8080:localhost:80 user@remote-server

远程端口转发

# 将远程服务器的8080端口转发到本地80端口
ssh -R 8080:localhost:80 user@remote-server

# 允许其他主机连接远程端口
ssh -R 0.0.0.0:8080:localhost:80 user@remote-server

动态端口转发(SOCKS代理)

# 创建SOCKS5代理
ssh -D 1080 user@remote-server

# 后台运行SOCKS代理
ssh -fN -D 1080 user@remote-server

# 使用代理
curl --socks5 127.0.0.1:1080 http://example.com

socat工具转发

安装socat

# Ubuntu/Debian
apt install socat

# CentOS/RHEL
yum install socat

TCP转发

# 简单TCP转发
socat TCP-LISTEN:8080,fork TCP:target-server:80

# 后台运行
nohup socat TCP-LISTEN:8080,fork TCP:target-server:80 &

# 绑定特定IP
socat TCP-LISTEN:8080,bind=192.168.1.10,fork TCP:target-server:80

# 支持IPv6
socat TCP6-LISTEN:8080,fork TCP6:target-server:80

UDP转发

# UDP端口转发
socat UDP-LISTEN:53,fork UDP:8.8.8.8:53

# 游戏服务器UDP转发
socat UDP-LISTEN:7777,fork UDP:game-server:7777

# 后台运行UDP转发
nohup socat UDP-LISTEN:53,fork UDP:8.8.8.8:53 &

高级功能

# SSL/TLS转发
socat OPENSSL-LISTEN:443,cert=server.pem,fork TCP:backend:80

# Unix套接字转发
socat TCP-LISTEN:8080,fork UNIX-CONNECT:/var/run/app.sock

# 文件转发
socat TCP-LISTEN:8080,fork OPEN:/path/to/file

nc (netcat) 转发

简单端口转发

# TCP转发(需要两个终端)
# 终端1:监听本地端口
nc -l 8080

# 终端2:连接到目标服务器
nc target-server 80

# 使用管道连接
mkfifo /tmp/pipe
nc -l 8080 < /tmp/pipe | nc target-server 80 > /tmp/pipe

脚本化转发

#!/bin/bash
# tcp_forward.sh

LOCAL_PORT=$1
TARGET_HOST=$2
TARGET_PORT=$3

while true; do
    nc -l $LOCAL_PORT -c "nc $TARGET_HOST $TARGET_PORT"
done

rinetd转发工具

安装rinetd

# Ubuntu/Debian
apt install rinetd

# CentOS/RHEL
yum install rinetd

配置rinetd

# 编辑配置文件
vim /etc/rinetd.conf

# 配置格式:本地IP 本地端口 目标IP 目标端口
0.0.0.0 8080 192.168.1.100 80
0.0.0.0 2222 192.168.1.100 22
0.0.0.0 3306 192.168.1.200 3306

# 启动rinetd
systemctl start rinetd
systemctl enable rinetd

# 查看状态
systemctl status rinetd

HAProxy负载均衡转发

安装HAProxy

# Ubuntu/Debian
apt install haproxy

# CentOS/RHEL
yum install haproxy

基础配置

# /etc/haproxy/haproxy.cfg

global
    daemon
    maxconn 4096

defaults
    mode tcp
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

# TCP转发配置
frontend tcp_frontend
    bind *:8080
    default_backend tcp_backend

backend tcp_backend
    balance roundrobin
    server server1 192.168.1.100:80 check
    server server2 192.168.1.101:80 check

# HTTP转发配置
frontend http_frontend
    bind *:80
    mode http
    default_backend http_backend

backend http_backend
    mode http
    balance roundrobin
    server web1 192.168.1.100:80 check
    server web2 192.168.1.101:80 check

启动HAProxy

# 检查配置
haproxy -c -f /etc/haproxy/haproxy.cfg

# 启动服务
systemctl start haproxy
systemctl enable haproxy

# 查看统计信息
echo "show stat" | socat stdio /var/lib/haproxy/stats

Nginx流转发

编译支持stream模块

# 检查是否支持stream模块
nginx -V 2>&1 | grep -o with-stream

# 如果没有,需要重新编译或安装支持stream的版本

配置stream转发

# /etc/nginx/nginx.conf

# 在http块外添加stream块
stream {
    # TCP转发
    upstream backend_tcp {
        server 192.168.1.100:80;
        server 192.168.1.101:80;
    }
    
    server {
        listen 8080;
        proxy_pass backend_tcp;
        proxy_timeout 1s;
        proxy_responses 1;
    }
    
    # UDP转发
    upstream backend_udp {
        server 192.168.1.100:53;
        server 192.168.1.101:53;
    }
    
    server {
        listen 53 udp;
        proxy_pass backend_udp;
        proxy_timeout 1s;
        proxy_responses 1;
    }
    
    # SSH转发
    server {
        listen 2222;
        proxy_pass 192.168.1.100:22;
    }
}

http {
    # 原有HTTP配置
}

高级转发工具

gost多协议转发

# 安装gost
wget https://github.com/ginuerzh/gost/releases/download/v2.11.5/gost-linux-amd64-2.11.5.gz
gunzip gost-linux-amd64-2.11.5.gz
chmod +x gost-linux-amd64-2.11.5
mv gost-linux-amd64-2.11.5 /usr/local/bin/gost

# TCP转发
gost -L tcp://:8080/192.168.1.100:80

# UDP转发
gost -L udp://:53/8.8.8.8:53

# HTTP代理
gost -L http://:8080

# SOCKS5代理
gost -L socks5://:1080

# 多级代理
gost -L http://:8080 -F socks5://proxy1:1080 -F http://proxy2:8080

frp内网穿透

# 服务端配置 frps.ini
[common]
bind_port = 7000

# 客户端配置 frpc.ini
[common]
server_addr = your-server-ip
server_port = 7000

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

[web]
type = http
local_port = 80
custom_domains = your-domain.com

# 启动服务
./frps -c frps.ini    # 服务端
./frpc -c frpc.ini    # 客户端

性能优化

系统参数优化

# /etc/sysctl.conf

# 增加连接跟踪表大小
net.netfilter.nf_conntrack_max = 1000000

# 优化TCP参数
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30

# 增加文件描述符限制
fs.file-max = 1000000

# 应用配置
sysctl -p

监控转发性能

# 查看连接数
ss -tuln | wc -l

# 查看iptables统计
iptables -t nat -L -v -n

# 监控网络流量
iftop -i eth0

# 查看连接跟踪
cat /proc/net/nf_conntrack | wc -l

安全考虑

防火墙配置

# 只允许特定IP访问转发端口
iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP

# 限制连接速率
iptables -A INPUT -p tcp --dport 8080 -m limit --limit 10/min -j ACCEPT

访问控制

# 使用TCP Wrappers
echo "sshd: 192.168.1.0/24" >> /etc/hosts.allow
echo "sshd: ALL" >> /etc/hosts.deny

# 使用fail2ban防护
apt install fail2ban

故障排除

常见问题

转发不生效

# 检查IP转发是否启用
cat /proc/sys/net/ipv4/ip_forward

# 检查iptables规则
iptables -t nat -L -n -v

# 检查路由表
ip route show

连接超时

# 检查目标服务器连通性
telnet target-server 80

# 检查防火墙规则
iptables -L -n -v

# 查看系统日志
journalctl -f

性能问题

# 检查系统负载
top
iostat -x 1

# 检查网络统计
netstat -s

# 监控连接状态
watch 'ss -tuln | wc -l'

最佳实践

选择合适的工具

  • 简单转发: 使用iptables或socat
  • 负载均衡: 使用HAProxy或Nginx
  • 内网穿透: 使用frp或ngrok
  • 高级功能: 使用gost或自定义脚本

安全建议

  1. 最小权限: 只开放必要的端口
  2. 访问控制: 限制来源IP地址
  3. 监控日志: 定期检查访问日志
  4. 定期更新: 保持工具和系统最新

性能优化

  1. 系统调优: 优化内核参数
  2. 硬件选择: 使用高性能网卡
  3. 负载分散: 使用多个转发节点
  4. 监控告警: 建立性能监控体系

端口转发是网络管理的重要技能,选择合适的工具和方法可以有效解决各种网络连接问题。