抛开云主机环境来说,通常一个办公网络内所有的主机都没有公网IP地址,但他们都能通过具有IP地址的路由器(网关)设备访问Internet,此设备只需要具备NAT和转发功能即可。具有这样功能的设备当然可以用某台计算机代替。
下面是一个最简单的模型:
主机A(服务端):
网卡1:内网IP地址1
网卡2:公网IP地址3或者能访问Internet的某个IP地址3
主机B(客户端):
网卡1:内网IP地址2
主机B想通过主机A访问Internet,只需要主机B指定主机A为网关,主机A能够将来自主机B的包伪装成主机A上的网卡2上的IP即可(sNAT)。
因此云主机环境也是一样,只要保证两个云主机间内网是连通的,另一台云主机能访问Internet即可。如果某两个云主机内网不通,但可以通过***连通,也可以实现。
(一)下面是两个主机间通过内网IP直接连接模拟访问Internet的例子。
主机A(服务端):
网卡1:10.20.0.128(eth0,无Internet访问)
网卡2:192.168.1.52(eth2,Internet访问)
主机B(客户端):
网卡1:10.20.0.129(eth0,无Internet访问)
主机A操作:
开启iptables转发功能:
sysctl -w net.ipv4.conf.default.accept_source_route=1 sysctl -w net.ipv4.conf.default.rp_filter=0 sysctl -w net.ipv4.ip_forward=1
配置iptables NAT规则:
modprobe iptable_nat iptables -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth2 -j MASQUERADE
删除iptables拒绝转发规则:
iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited
主机B操作:
将默认网关配置成主机A的网卡1地址:
route add -host 10.20.0.128/32 dev eth0 route add default gw 10.20.0.128 dev eth0
(二)下面是两个主机间通过Open×××连接模拟访问Internet的例子。
主机A(服务端,CentOS6.x):
网卡1:10.20.0.128(eth0,无Internet访问)
网卡2:192.168.1.52(eth2,Internet访问)
主机B(客户端,CentOS6.x):
网卡1:10.20.0.129(eth0,无Internet访问)
主机A操作:
安装Open×××(安装Open×××也可以参考《CentOS6.7安装Open×××服务端》):
yum -y install http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum -y install openssl open*** cd /etc/open*** git clone https://github.com/Open×××/easy-rsa.git cd /etc/open***/easy-rsa/ git checkout -b v2.2.1 cp -r easy-rsa/2.0 /etc/open***/easy-rsa/ cd /etc/open***/easy-rsa/2.0/ vim im vars export EASY_RSA="`pwd`" export OPENSSL="openssl" export PKCS11TOOL="pkcs11-tool" export GREP="grep" export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA` export KEY_DIR="$EASY_RSA/keys" echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR export PKCS11_MODULE_PATH="dummy" export PKCS11_PIN="dummy" export KEY_SIZE=2048 export CA_EXPIRE=3650 export KEY_EXPIRE=3650 export KEY_COUNTRY="CN" export KEY_PROVINCE="Shandong" export KEY_CITY="QingDao" export KEY_ORG="51devops" export KEY_EMAIL="uberurey_ups@163.com" export KEY_OU="Ops" export KEY_NAME="51devops"
生成Open××× 证书以及key:
source vars ./clean-all ./pkitool --initca ./pkitool --server node1.51devops.com ./build-dh # ./build-key node1.51devops.com ./build-key node2.51devops.com chmod 400 /etc/open***/easy-rsa/2.0/keys/node1.51devops.com.key
编写一个Open××× Server端的配置文件:
vim /etc/open***/server.conf
port 1194 proto tcp dev tun ca /etc/open***/easy-rsa/2.0/keys/ca.crt cert /etc/open***/easy-rsa/2.0/keys/node1.51devops.com.crt key /etc/open***/easy-rsa/2.0/keys/node1.51devops.com.key dh /etc/open***/easy-rsa/2.0/keys/dh3048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist clientiplist.txt client-to-client duplicate-cn keepalive 10 120 comp-lzo persist-key persist-tun status /var/log/open***-status.log log /var/log/open***.log log-append /var/log/open***.log verb 3
启动Open×××并配置iptables:
service open*** start service open*** status ifconfig tun0 cat /var/log/open***.log cat /var/log/open***-status.log iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT # iptables -I INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT iptables-save || service iptables status service iptables save
编辑内核参数,启用转发功能:
vim /etc/sysctl.conf net.ipv4.conf.default.accept_source_route = 1 net.ipv4.conf.default.rp_filter = 0 net.ipv4.ip_forward = 1
或者:
sysctl -w net.ipv4.conf.default.accept_source_route=1 sysctl -w net.ipv4.conf.default.rp_filter=0 sysctl -w net.ipv4.ip_forward=1
配置iptables,配置sNAT和FORWARD规则:
modprobe iptable_nat iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth2 -j MASQUERADE iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited service iptables save || iptables-save > /etc/sysconfig/iptables
tips:也可以清空iptables所有配置,再添加允许规则,这样可以避开一些reject规则。
可以通过iptables -t nat -nL -v命令查看nat表状态。
iptables -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth2 -j MASQUERADE
配置主机B(客户端)
安装Open×××客户端:
yum -y install http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum -y install openssl open***
编辑Open××× Client配置文件:
vim /etc/open***/client.conf client dev tun port 1194 proto tcp remote 10.20.0.128 1194 resolv-retry infinite nobind persist-tun ca /etc/open***/ca.crt cert /etc/open***/node2.51devops.com.crt key /etc/open***/node2.51devops.com.key remote-cert-tls server script-security 3 ns-cert-type server comp-lzo adaptive verb 3 mute 20
缩小证书文件的权限,只允许当前用户访问,不允许组内其他用户和其他组访问
chmod 400 /etc/open***/node2.51devops.com.key service open*** restart
配置路由:
route add -host 10.8.0.1/32 dev tun0 route add default gw 10.8.0.1 dev tun0
测试连接:
ping -c4 10.8.0.1 ping -c4 114.114.114.114
在Open×××连接前需要注意证书一定配置正确,时间同步,软件版本最好保持一致、OpenSSL软件包升级到最新版本。
tag:Linux网络,Open×××配置,iptables sNAT
--end--
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。