前言

---

当我们在对接第三方的时候，免不了会遇到白名单限制问题，导致我们本地开发环境受限，不能调用接口。难以完成整个业务流程。

分析如下场景

---

比如第三方有台机器 IP 为 1.1.1.1  端口8080

正式环境为1.1.1.1：8080/pro/api

测试环境为1.1.1.1：8080/test/api

但是第三方的机器不允许任何IP都可以调用，他们只允许你方一台机器加入白名单

比如你线上的一台机器IP是2.2.2.2已经加入白名单，这没问题。

但是你要做开发 要调用他们测试环境的API，却发现调用不了，而且你总不能在2.2.2.2上面写代码调试吧。

解决方案

---

跳板服务

如果既然不能直接调用1.1.1.1 那么完全让2.2.2.2写个服务，作为跳板，也就是把我们的请求给2.2.2.2,然后2.2.2.2再原封不动传给1.1.1.1

Nginx转发

这个会比跳板服务简单多了。只要2.2.2.2 开启nginx

listen    8080;
location /test/api/{
  proxy_pass 1.1.1.1:8080;
}

端口映射

无论是跳板服务还是nginx转发 我们要做的事情就更多了。所以我们要想到另一种思路。就是2.2.2.2这台机器能不能帮我转发，只是作为一个中间者。就是我请求了2.2.2.2:8080 实际上请求到了是1.1.1.1:8080。即为端口映射。上面两种方案仅仅是用在http。那如果是其他协议呢 比如说sftp(ssh) ftp。也仅仅只有此方案能胜任。

Linux端口映射，又称为端口转发，是一种网络技术，它可以将一台服务器的IP地址上的虚拟主机映射到另一台服务器的指定端口。这样，客户端可以通过提供的IP地址直接访问另一台服务器的指定端口，而无需知道目的地的IP地址或端口。

Linux端口映射的原理是基于“IP转发”，它使用IP协议中的源端口和目标端口，主要用于连接本地主机和远程主机之间的数据传输。当客户端发送请求到指定IP地址，指定端口时，Linux端口映射会修改源端口，将其映射到指定的IP地址和端口，另一台服务器端接受到此数据后返回报文。

• vi /etc/sysctl.conf开启允许端口转发。net.ipv4.ip_forward =1(CentOS7则是在 /usr/lib/sysctl.d/50-default.conf额外添加)
• iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 –dport 8080 -j DNAT –to-destination 1.1.1.1:8080 转发请求
• iptables -t nat -A POSTROUTING -p tcp -s 1.1.1.1 –sport 8080 -j SNAT –to-source 2.2.2.2:8080 转发接收

2.2.2.2 8080 转发到1.1.1.1：8080 (其他行情百度，也可以实现本地机器端口转发)

• service iptables save 保存设置
• service iptables restart 重启防火墙

总结

---

linux端口映射的优点

• 1、简化网络结构。由于端口映射可以使用本地IP地址，而不需要将数据从远程主机中做路由，这样能够更高效地连接客户端和服务器，从而简化网络结构，使网络更稳定；
• 2、加强安全。使用端口映射可以更加有效地保护网络安全，仅允许映射网络中允许的端口通信，拒绝其他无关的端口，有效保护服务器安全；
• 3、隐藏网络服务。使用端口映射可以隐藏网络服务计算机的IP地址，从而减少外部端口侦查窃取信息的风险。