在 PVE 宿主机上配置端口转发到虚拟机 RDP 服务

概述

在 Proxmox VE (PVE) 环境中，将宿主机的端口转发到虚拟机是常见的网络配置需求。本文详细介绍了如何将 PVE 宿主机的 33389 端口安全地转发到内部 Windows 虚拟机的 3389 端口（RDP 服务），并添加 IP 限制以增强安全性。内容包括 IP 转发设置、iptables 规则配置、规则保存方法以及客户端连接测试，为 PVE 管理员提供了一份完整的端口转发解决方案。

---

目录

1. 环境准备与网络拓扑
2. 开启宿主机 IP 转发
3. 配置 iptables 端口转发规则
   • 基本转发规则
   • 添加 IP 限制增强安全性
4. 保存 iptables 规则
5. 虚拟机端配置
6. 测试连接
7. 故障排查
8. 总结

环境准备与网络拓扑

网络配置：

• 宿主机网桥：vmbr0
• 宿主机内网 IP：172.16.1.1 (可选，用于管理)
• 虚拟机 IP：172.16.1.2 (Windows 系统)
• 转发规则：宿主机:33389 → 虚拟机:3389 (RDP)

权限要求：

• PVE 宿主机的 root 权限
• Windows 虚拟机的管理员权限

开启宿主机 IP 转发

首先需要确保宿主机开启了 IPv4 转发功能：

临时开启（重启后失效）：

echo 1 > /proc/sys/net/ipv4/ip_forward

永久开启： 编辑 /etc/sysctl.conf 文件，添加或修改以下行：

net.ipv4.ip_forward=1

应用配置：

sysctl -p

配置 iptables 端口转发规则

基本转发规则

以下规则实现基本的端口转发功能：

# DNAT: 把访问宿主机 33389 的流量转发到虚拟机 172.16.1.2:3389
iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 33389 -j DNAT --to-destination 172.16.1.2:3389

# 允许转发到虚拟机
iptables -A FORWARD -p tcp -d 172.16.1.2 --dport 3389 -j ACCEPT

# SNAT/MASQUERADE: 确保虚拟机返回的流量能正确回到外部客户端
iptables -t nat -A POSTROUTING -s 172.16.1.2 -o vmbr0 -j MASQUERADE

添加 IP 限制增强安全性

为了增强安全性，可以添加源 IP 限制，只允许特定 IP 访问：

单一 IP 限制：

# 只允许特定IP(如 192.168.1.100)访问
iptables -t nat -A PREROUTING -i vmbr0 -s 192.168.1.100 -p tcp --dport 33389 -j DNAT --to-destination 172.16.1.2:3389
iptables -A FORWARD -p tcp -s 192.168.1.100 -d 172.16.1.2 --dport 3389 -j ACCEPT

网段限制：

# 允许整个网段(如 192.168.1.0/24)访问
iptables -t nat -A PREROUTING -i vmbr0 -s 192.168.1.0/24 -p tcp --dport 33389 -j DNAT --to-destination 172.16.1.2:3389
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 172.16.1.2 --dport 3389 -j ACCEPT

使用 ipset 管理多个 IP（推荐用于大量 IP）：

# 创建ipset集合
ipset create allowed_ips hash:ip

# 添加允许的IP
ipset add allowed_ips 192.168.1.100
ipset add allowed_ips 192.168.1.101

# 使用ipset的iptables规则
iptables -t nat -A PREROUTING -i vmbr0 -m set --match-set allowed_ips src -p tcp --dport 33389 -j DNAT --to-destination 172.16.1.2:3389
iptables -A FORWARD -p tcp -m set --match-set allowed_ips src -d 172.16.1.2 --dport 3389 -j ACCEPT

保存 iptables 规则

配置完成后，需要保存规则以确保重启后依然有效：

安装持久化工具：

apt install iptables-persistent

保存当前规则：

netfilter-persistent save

或手动保存：

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

虚拟机端配置

在 Windows 虚拟机中，需要确保以下设置：

1. 启用远程桌面：

   • 右键"此电脑" → 属性 → 远程设置
   • 选择"允许远程连接到此计算机"
   • 建议取消"仅允许运行使用网络级别身份验证的计算机"（可选，根据客户端支持情况）

2. 配置防火墙：

   • 确保 Windows 防火墙允许远程桌面连接（TCP 3389）
   • 或在高级安全防火墙中启用"远程桌面(TCP-In)"规则

3. 用户权限：

   • 确保用于远程登录的用户具有远程桌面访问权限

测试连接

从客户端测试：

# 使用telnet测试端口连通性
telnet <宿主机IP> 33389

# 使用nmap扫描端口
nmap -p 33389 <宿主机IP>

使用远程桌面连接：

1. 打开远程桌面客户端 (mstsc)
2. 输入地址：<宿主机IP>:33389
3. 使用虚拟机的用户名和密码登录

故障排查

常见问题及解决方法：

1. 连接超时：

   • 检查宿主机防火墙是否放行 33389 端口
   • 确认 iptables 规则已正确配置
   • 验证虚拟机网络连通性

2. 认证失败：

   • 检查 Windows 虚拟机的远程桌面设置
   • 确认用户权限和密码正确

3. 转发不工作：

   • 确认 IP 转发已启用：cat /proc/sys/net/ipv4/ip_forward
   • 检查 iptables 规则：iptables -t nat -L -n -v

4. 查看连接状态：

   # 查看当前连接状态
   conntrack -L | grep 33389
   

总结

通过本文介绍的步骤，你可以在 PVE 宿主机上成功配置端口转发，将外部的 33389 端口安全地转发到内部 Windows 虚拟机的 3389 端口。添加 IP 限制规则可以显著增强服务的安全性，只允许受信任的客户端访问。

这种端口转发方法不仅适用于 RDP 服务，同样可以应用于其他需要从外部访问内部服务的场景，如 SSH（22）、HTTP（80）、HTTPS（443）或其他自定义端口服务。只需相应修改端口号和目标地址即可实现灵活的网络访问控制。