关于CentOS 7系统：需要删除firewalld装回iptables.

# 安装命令(已默认安装)：

systemctl stop firewalld.service

systemctl disable firewalld.service

yum install iptables-services -y

systemctl enable iptables.service

第一步：开启系统的转发功能

首先，先确认服务器是否已开启转发，运行：

sysctl net.ipv4.ip_forward

# 如果已经启动则显示

> net.ipv4.ip_forward = 1

# 如果没有启动则显示(请按照下面步骤进行开启)

> net.ipv4.ip_forward = 0

# CentOS 6/Debian/Ubuntu 开启方式：

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

sysctl -p

# CentOS 7 开启方式：

echo "net.ipv4.ip_forward = 1" >> /usr/lib/sysctl.d/cloudiplc.conf

sysctl -p /usr/lib/sysctl.d/cloudiplc.conf

第二步： 加入iptables规则

iptables -t nat -A PREROUTING -p tcp --dport [端口号] -j DNAT --to-destination [目标IP]

iptables -t nat -A PREROUTING -p udp --dport [端口号] -j DNAT --to-destination [目标IP]

iptables -t nat -A POSTROUTING -p tcp -d [目标IP] --dport [端口号] -j SNAT --to-source [本地服务器IP]

iptables -t nat -A POSTROUTING -p udp -d [目标IP] --dport [端口号] -j SNAT --to-source [本地服务器IP]

* 如服务器是内网IP(例如NAT-VPS),请用ifconfig或ip addr确认走公网流量网卡的内网IP(本地服务器IP).

第三步：重启iptables使规则生效

CentOS使用：

service iptables save

service iptables restart

Debian/Ubuntu使用：

iptables-save > /etc/iptables.up.rules

iptables-restore < /etc/iptables.up.rules

扩展需求：

CentOS修改：/etc/sysconfig/iptables

Debian/Ubuntu修改：/etc/iptables.up.rules

同端口号配置方案：（使用本地服务器的10000端口来转发目标IP为1.1.1.1的10000端口）

-A PREROUTING -p tcp -m tcp --dport 10000 -j DNAT --to-destination 1.1.1.1

-A PREROUTING -p udp -m udp --dport 10000 -j DNAT --to-destination 1.1.1.1

-A POSTROUTING -d 1.1.1.1 -p tcp -m tcp --dport 10000 -j SNAT --to-source [本地服务器IP]

-A POSTROUTING -d 1.1.1.1 -p udp -m udp --dport 10000 -j SNAT --to-source [本地服务器IP]

非同端口号配置方案：（使用本地服务器的60000端口来转发目标IP为1.1.1.1的50000端口）

-A PREROUTING -p tcp -m tcp --dport 60000 -j DNAT --to-destination 1.1.1.1:50000

-A PREROUTING -p udp -m udp --dport 60000 -j DNAT --to-destination 1.1.1.1:50000

-A POSTROUTING -d 1.1.1.1 -p tcp -m tcp --dport 50000 -j SNAT --to-source [本地服务器IP]

-A POSTROUTING -d 1.1.1.1 -p udp -m udp --dport 50000 -j SNAT --to-source [本地服务器IP]

多端口转发配置方案：(将本地服务器的10000~65535转发至目标IP为1.1.1.1的10000~65535端口)

-A PREROUTING -p tcp -m tcp --dport 10000:65535 -j DNAT --to-destination 1.1.1.1

-A PREROUTING -p udp -m udp --dport 10000:65535 -j DNAT --to-destination 1.1.1.1

-A POSTROUTING -d 1.1.1.1 -p tcp -m tcp --dport 10000:65535 -j SNAT --to-source [本地服务器IP]

-A POSTROUTING -d 1.1.1.1 -p udp -m udp --dport 10000:65535 -j SNAT --to-source [本地服务器IP]

修改后重启生效：

CentOS6：

service iptables restart

CentOS7:

systemctl restart iptables.service

Debian/Ubuntu：

iptables-restore < /etc/iptables.up.rules

查看目前正在NAT的规则：

iptables -t nat -nL

查看目前iptables的规则：

iptables -nL --line-number