[文章作者：陈臻 本文版本：v1.0 最后修改：2009.2.19 转载请注明原文链接：http://www.54chen.com/c/264]

以前发过一篇利用iptables做本机的端口转发的文章，利用简单的地址转换的原理，可以将两台互相可访问的机器利用iptables转发，这样很容易实现类似透明代理的功能，当然，这个代理不会有缓存的。：）

假如我希望把对 1.2.4.5:8080的访问都转向 1.2.6.9:80：

IP包来到之后，修改目的地址，使之转向目标机器的目标端口，在.5这个机器上：

iptables -t nat -A PREROUTING -d 1.2.4.5 -p tcp --dport 8080 -j DNAT --to 1.2.6.9:80

IP包返回的时候，修改源地址（源端口），使之符合IP协议，正确返回，还是在.5这个机器上：

iptables -t nat -A POSTROUTING -d 1.2.6.9 -p tcp --dport 80 -j SNAT --to 1.2.4.5:8080

然后我们需要在.5操作系统上打开IP转发：

echo '1' > /proc/sys/net/ipv4/ip_forward

最后再设置.5的连接状态

  iptables -A FORWARD -o eth0 -d 1.2.4.5 -p tcp --dport 8080 -j ACCEPT

  iptables -A FORWARD -i eth0 -s 1.2.6.9 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

附全部脚本（不关.9的事，全是在.5上）

iptables -t nat -A POSTROUTING -d 1.2.4.5 -p tcp --dport 8080 -j DNAT --to 1.2.6.9:80

iptables -t nat -A PREROUTING -d 1.2.4.5 -p tcp --dport 8080 -j DNAT --to 1.2.6.9:80

iptables -t nat -A POSTROUTING -d 1.2.6.9 -p tcp --dport 80 -j SNAT --to 1.2.4.5:8080

iptables -A FORWARD -i eth0 -s 1.2.6.9 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -o eth0 -d 1.2.4.5 -p tcp --dport 8080 -j ACCEPT

代码如下：

  iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

估计适当增加其它的参数也可以做不同IP的端口转发。

如果需要本机也可以访问，则需要配置OUTPUT链：

  iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080

原因：

外网访问需要经过PREROUTING链，但是localhost不经过该链，因此需要用OUTPUT，或者POSTROUTING。

POSTROUTING不行，需要看看。