使用nftables配置端口转发

由于Debian 12版本以后已经弃用了iptables,默认使用nftables,在 Linux 中,nftables 是一种用于管理防火墙的现代框架,可以实现灵活且高效的网络包过滤和端口转发。以下是使用 nftables 配置端口转发的基本步骤。

流量走向:

客户端 --> GFW --> A服务器 --> B服务器(落地) --> YouTube --> 返回客户端

A服务器IP:2.2.2.2 端口:2222
B服务器IP:6.6.6.6 端口:6666

实现目的:把本机A服务器IP 2.2.2.2 上的 2222 端口流量转发到B服务器IP 6.6.6.6 的 6666 端口上

A服务器

以下都在A服务器上操作,也就是转发服务器,白话就是线路好的服务器

首先在服务器上开启内核转发:

1
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

使其生效:
sysctl -p

1. 安装 nftables

确保系统已经安装 nftables。在大多数 Linux 发行版中可以通过以下命令安装(Debian12 已默认自带,不用额外安装):

1
2
apt install nftables  # 对于 Debian/Ubuntu
yum install nftables # 对于 CentOS/RHEL

2. 启用并启动 nftables

确保 nftables 服务已启用并运行:

1
2
systemctl enable nftables
systemctl start nftables

3. 创建或编辑配置文件

编辑 nftables 配置文件,通常位于 /etc/nftables.conf,或者创建一个新的配置文件。

以下是一个端口转发的配置示例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#!/usr/sbin/nft -f

flush ruleset

# 创建一个名为 "fowardaws" 的表,用于转发流量
table ip fowardaws {

# 在 prerouting 链中配置 DNAT(目的地址转换)
chain prerouting {
# 设置该链的类型为 NAT(网络地址转换),并在 prerouting 阶段生效
type nat hook prerouting priority -100; # priority -100 表示较早匹配规则

# 将本机也就是中转机2222端口流量转发到落地机IP(6.6.6.6)的6666端口上
tcp dport 2222 dnat to 6.6.6.6:6666
udp dport 2222 dnat to 6.6.6.6:6666
# 上述两行规则会将访问本机 2222 端口的 TCP/UDP 流量重定向到指定的远程服务器端口
}

# 在 postrouting 链中配置 SNAT(源地址转换)
chain postrouting {
# 设置该链的类型为 NAT,并在 postrouting 阶段生效
type nat hook postrouting priority 100; # priority 100 表示在路由后生效

# 使用 masquerade(伪装)机制,将流向(目的机器的ip) 的流量的源地址转换为本机的出站 IP 地址
ip daddr 6.6.6.6 masquerade
# masquerade 的效果是隐藏本地 IP,使目标服务器看到的是中转机的外网 IP,而非局域网 IP
}
}

4. 加载配置

保存文件后,通过以下命令加载配置:

1
nft -f /etc/nftables.conf

5. 验证规则

使用以下命令查看当前 nftables 规则是否正确加载:

1
nft list ruleset
  • prerouting:用于修改进入主机的数据包,适合端口转发。
  • postrouting:用于修改发出主机的数据包,通常用于地址伪装 (SNAT)。

B服务器(落地)

B服务器也就是落地服务器,在B服务器上安装个Shadowsocks就好了,注意端口使用上面转发的6666端口。

安装SS可使用姥爷的一键脚本:
https://github.com/yeahwu/v2ray-wss

客户端

本来B服务器上安装的SS的IP和端口是,IP 6.6.6.6,端口 6666

既然使用了转发,那么客户端只要把IP和端口换成A服务器IP,和转发端口2222,就可以使用了。

参考: