POC Proxy

机器 poc-proxy

192.168.255.250

Nginx

/etc/nginx/vhost

IPTables

iptables -t nat -L -n -v

Chain PREROUTING (policy ACCEPT 17M packets, 1432M bytes)
 pkts bytes target     prot opt in     out     source               destination         
51238 3072K DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:34009 to:192.168.48.70:34009

Chain INPUT (policy ACCEPT 9149K packets, 494M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4143K packets, 252M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 4143K packets, 252M bytes)
 pkts bytes target     prot opt in     out     source               destination         
51238 3072K SNAT       tcp  --  *      *       0.0.0.0/0            192.168.48.70        tcp dpt:34009 to:192.168.255.250

• pkts - Packets（匹配的报文数量）
• bytes - Bytes（匹配的报文总字节数）
• prot - Protocol（协议，如 tcp、udp、icmp 等）
• opt - Options（额外选项，通常为空）
• in - Input Interface（进入的数据包所经过的网络接口， 表示任意接口）
• out - Output Interface（出去的数据包所经过的网络接口， 表示任意接口）
• source - Source Address（数据包的源 IP 地址，0.0.0.0/0 表示任意地址）
• destination - Destination Address（数据包的目标 IP 地址，0.0.0.0/0 表示任意地址）
• target - Target（规则的目标动作，如 ACCEPT、DROP、DNAT、SNAT 等）
• tcp dpt - TCP Destination Port（TCP 目标端口）
• udp dpt - UDP Destination Port（UDP 目标端口）
• tcp spt - TCP Source Port（TCP 源端口）
• udp spt - UDP Source Port（UDP 源端口）
• to: - To Destination / To Source（DNAT 或 SNAT 规则中的目标地址或源地址）
• policy - Policy（链的默认策略，如 ACCEPT 或 DROP）

1. PREROUTING 链

Chain PREROUTING (policy ACCEPT 17M packets, 1432M bytes)
 pkts bytes target     prot opt in     out     source               destination
51238 3072K DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:34009 t:192.168.48.70:34009

• 作用: PREROUTING 链主要用于目的地址转换（DNAT），即修改数据包的目标 IP 地址。
• 规则解释:
  • 这条规则适用于所有入站 TCP 流量（tcp）。
    • 目标端口是 34009（tcp dpt:34009）。
    • 数据包的目标地址被修改为 192.168.48.70:34009（to:192.168.48.70:34009）。
    • 这意味着外部访问 公网 IP:34009 的连接会被转发到 192.168.48.70:34009。

---

2. INPUT 链

Chain INPUT (policy ACCEPT 9149K packets, 494M bytes)
 pkts bytes target     prot opt in     out     source               destination

• 作用: INPUT 链处理发往本机的流量（例如 SSH 连接、本机运行的服务）。
• 当前没有具体规则: 这意味着所有流量都会按照默认 ACCEPT 策略进入本机。

---

3. OUTPUT 链

Chain OUTPUT (policy ACCEPT 4143K packets, 252M bytes)
 pkts bytes target     prot opt in     out     source               destination

• 作用: OUTPUT 链处理从本机发出的流量。
• 当前没有具体规则: 这意味着所有流量都会按照默认 ACCEPT 策略放行。

---

4. POSTROUTING 链

Chain POSTROUTING (policy ACCEPT 4143K packets, 252M bytes)
 pkts bytes target     prot opt in     out     source               destination
51238 3072K SNAT       tcp  --  *      *       0.0.0.0/0            192.168.48.70        tcp dpt:34009 to:192.168.255.250

• 作用: POSTROUTING 链用于源地址转换（SNAT），通常用于出站流量修改源地址。
• 规则解释:
  • 这条规则适用于所有出站 TCP 流量（tcp）。
    • 目标 IP 是 192.168.48.70，端口是 34009。
    • 该流量的源地址被修改为 192.168.255.250（to:192.168.255.250）。
    • 这意味着当 192.168.48.70:34009 处理请求后回包时，源地址会被改成 192.168.255.250，可能用于 NAT 或防火墙绕过。

---

总结

1. DNAT（目的 NAT）:

• 访问 公网 IP:34009 的流量会被转发到 192.168.48.70:34009。

2. SNAT（源 NAT）:

• 任何到 192.168.48.70:34009 的流量，其源地址都会被修改为 192.168.255.250。

3. 影响:

• 这通常用于端口转发（Port Forwarding）场景，例如：
  • 从公网访问 公网 IP:34009 会被重定向到 192.168.48.70:34009。
    • 服务器响应的数据包的源地址被修改，以保证返回的流量能正确回到 NAT 网关。

这个配置通常用于 NAT 网关或端口映射，可能是 iptables 结合 MASQUERADE 或 SNAT 实现公网 IP 访问内网服务器的情景。