前些日子,组长要我实现一个功能,将告警邮件中的不能访问的生产机器ip+端口转化为办公环境可以访问的域名(已经通过端口映射配置)。报警程序是用go语言编写的,如果直接将go语言配置文件中的ip+端口变成域名的话,程序就不能正常运行了,可linux的hosts文件不支持直接将域名解析到端口映射的级别(顺便说一句windows好像可以,即hostname可以在windows的hosts文件中解析为1.2.3.4:1234这种形式)。
于是大概想的这种策略:
1.将linux机器上的/etc/hosts中添加域名到ipA的配置;
2.想办法将ipA对80端口的访问重新定向到ipA的指定端口(比如520)。
第一步好做,但是第二步呢?用Apache端口映射功能?还要在装个apache web server;于是想到了linux自带的iptables。
很多搭建过rac、dg、hadoop这类需要多台机器协同工作的程序的朋友应该都接触过iptables,而且通常都是iptables -F,清空管理规则,达到关闭防火墙的效果。其实防火墙只能说是iptables的一部分功能,感觉更准确的说iptables是一个网络管理工具,不仅能够将机器接收到的网络数据丢弃或者接受,还可以进行其他操作比如转发、记录日志等等。
iptables的大体结构就像下面这的图展示的(图片来自互联网)
主要这么看这张图:
1.iptables的规则可以在五个地方(这里专业叫法叫做链)起作用:路由规则之前(prerouting)、转发过程中(forward)、路由规则之后(postrouting)、程序处理之前(input)、程序处理之后(output);
2.iptables主要有这三种功能(这里可以叫做三张表,毕竟规则就像数据库中的记录记录在数据表一样记录在这):地址转化(nat)、包过滤(filter)、修改包(mangle)(raw用的不多,不是很懂,在网上看了一下好像是优先级高,可以避免nat等规则匹配提高效率)。
以perrouting为例,在这里可以通过iptables的一系列规则匹配,对发送过来的数据包进行修改或者地址转化;以forward为例,在经过路由表匹配发现目标机器不是这台机器的时候,可以对数据包修改或者过滤其他的就不重复说明了。
下面说说iptables的语法(图片来自互联网)
大体语法是这样的
iptables -t 指明哪张表 -(A追加,I插入等等) 链名 匹配规则 特定操作(redirect、drop、accept等等)
以上面的需求来看,现在我想在访问80端口的时候,将访问重新定向到520端口。那么就可以在prerouting的时候,将访问本机80端口的数据包变成访问本机520端口的数据包
于是以root用户执行如下命令
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRET --to-port 520
这样就达到想要的效果,即在go语言中配置域名,但是仍然能够访问正确的ip+端口。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。