iptables端口重定向不适用于localhost

我想将所有流量从端口443重定向到内部端口8080。我将此配置用于iptables：

iptables -t nat -I PREROUTING --source 0/0 --destination 0/0 -p tcp \
         --dport 443 -j REDIRECT --to-ports 8080

这适用于所有外部客户端。但是，如果我尝试从同一台机器访问端口443，则会收到拒绝连接错误。

wget https://localhost

如何扩展iptables规则来重定向本地流量呢？

回送接口不使用PREROUTING，您还需要添加OUTPUT规则：

iptables -t nat -I PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8080
iptables -t nat -I OUTPUT -p tcp -o lo --dport 443 -j REDIRECT --to-ports 8080

要将数据包从本地主机重定向到另一台计算机，请执行以下规则：

 iptables -t nat -A OUTPUT -o lo -d 127.0.0.1 -p tcp --dport 443 -j DNAT  --to-destination 10.x.y.z:port

将起作用，但是您还需要在内核中启用此选项：

sysctl -w net.ipv4.conf.all.route_localnet=1

没有该内核设置，它将无法正常工作。

这个怎么样？

iptables -t nat -A输出-d 127.0.0.1 -p tcp --dport 443 -j REDIRECT-至端口8080

您说您收到连接被拒绝的错误。这意味着您尝试连接的端口上没有本地进程在监听！要检查侦听过程，请使用以下命令：

$ sudo netstat -lnp | grep 8080

应用规则后，您应该有一个进程监听8080端口以建立连接。

似乎应该改为遵循以下规则：

$ iptables -t nat -I OUTPUT --source 0/0 --destination 0/0 -p tcp
                                       --dport 443 -j REDIRECT --to-ports 8080

请记住，您是从本地主机发送的。因此，您需要重定向输出数据包。