问题遇到的现象和发生背景
- 80端口有长链接会话服务,在服务端上配置 端口转发
iptables -t nat -A PREROUTING -p tcp --dport 8890 -j REDIRECT --to-ports 80 - 此时客户端通过访问服务端8890实现与80端口通信
- 删除端口转发
iptables -t nat -D PREROUTING -p tcp --dport 8890 -j REDIRECT --to-ports 80 - 此时2中建立的会话仍然能够通信,但是客户端新发起的会话请求无效(8890已经不转发了)
我想要达到的结果
为什么会出现这种现象?
这是因为在Linux上还有nat的会话,这个会话是根据你的nat规则生成的,数据进来后会先匹配会话,没有会话再根据nat规则生成回话,还有这个回话是有超时时间的,很显然你在删除防火墙规则时你这个回话还没有超时,如果这个回话一直有数据的话就永远不会超时,由于你把规则删了所以不会有新的会话产生也就新的连接无法访问。在centos上可以通过命令conntrack -L查看所有会话,没有这个命令就安装下,通过命令conntrack -F清空当前所有回话。
文章:
iptables实现NAT 中也许有你想要的答案,请看下吧