一、什么是TCP端口转发
TCP端口转发是将发送到某IP和TCP端口的数据包，重定向到另一IP和端口的技术。TCP是面向连接的可靠协议，常用于Web服务（80/443）、SSH（22）、数据库（3306）等场景。在Linux系统中，通过iptables的DNAT机制即可实现。​编辑

二、核心配置方法
1. 开启IP转发（必须）
```bash
临时开启

echo 1 > /proc/sys/net/ipv4/ip_forward

永久开启（编辑/etc/sysctl.conf）
net.ipv4.ip_forward = 1

sysctl -p

```

2. iptables配置TCP转发
场景一：转发到内网Web服务器
```bash
外部8080端口→内网192.168.1.100:80

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80

返回流量正确路由
iptables -t nat -A POSTROUTING -j MASQUERADE

允许转发
iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT

```

场景二：本机端口重定向
```bash
访问80端口自动转到8080

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

```

3. firewalld配置（CentOS 7+）
```bash
firewall-cmd --add-masquerade --permanent

firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.100 --permanent

firewall-cmd --reload

```

三、常用管理命令
| 操作 | 命令 |
|------|------|

| 查看NAT规则 | `iptables -t nat -L -n -v` |

| 删除规则 | `iptables -t nat -D PREROUTING 1` |

| 保存规则（CentOS） | `service iptables save` |

四、TCP vs UDP转发区别
| 对比项 | TCP转发 | UDP转发 |
|--------|---------|---------|

| 连接状态 | 面向连接，可靠 | 无连接，不保证送达 |

| 会话管理 | 内核自动维护 | 需额外工具（如socat） |

| 典型应用 | Web、SSH、数据库 | DNS、游戏、VoIP |

五、常见问题排查
| 问题 | 解决方法 |
|------|---------|

| 转发不生效 | 检查IP转发：`sysctl net.ipv4.ip_forward` |

| 连接被拒绝 | 确认目标服务正在监听，防火墙允许端口 |

| 返回包丢失 | 检查MASQUERADE规则是否存在 |

‍一句话总结：开启IP转发 → 添加DNAT规则（`-p tcp`指定目标IP和端口）→ 添加MASQUERADE → 保存规则，即可完成TCP端口转发。另外，可以借助 80KM 端口流量转发程序，搭建流量中转节点，所有外网访问经过节点再回源，彻底隐藏真实 IP。支持 80、443 常用网页端口，兼容各大系统。