CentOS 7 下用 firewall-cmd / iptables 实现 NAT 转发供内网服务器联网
自從用 HAProxy 對服務器做了負載均衡以后,感覺后端服務器真的沒必要再配置并占用公網IP資源。
而且由于托管服務器的公網 IP 資源是固定的,想上 Keepalived 的話,需要擠出來 3 個公網 IP 使用,所以更加堅定了讓負載均衡后端服務器釋放公網 IP 的想法。
可是,后端服務器也不是簡單釋放公網 IP 就能正常工作的,正在運行的系統很多模塊依然需要具有連接外網獲取數據的能力。
所以就想到了用 CentOS 做一個軟路由(內網 NAT 轉發),如果能實現的話,就滿足了我的需求。
搜索并試驗了一番,目前發現用 iptables 是可行的,而且已經被我驗證有效的方案。
由于用到了 iptables,需要停止并禁用內置的 firewalld 防火墻服務。
? 停止內置的 firewalld
systemctl stop firewalld
systemctl disable firewalld? 打開系統的 IP 轉發功能
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p? 安裝 iptables 服務
yum -y install iptables-services
# 移除 iptables 服務
#yum -y remove iptables-services? 查看 iptables 規則
iptables -L? 清空默認的 filter 表
iptables -F? 清空默認的 nat 表
iptables -t nat -F? 默認規則,禁止所有入站,允許所有出站
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT? 默認規則,允許所有本地環回通信,出入站
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT? 重點,開啟 NAT 功能
iptables -t nat -A POSTROUTING -j MASQUERADE? 完整的命令
可以在命令行下粘貼批量執行
systemctl stop firewalld
systemctl disable firewalldyum -y install iptables-servicesiptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADEiptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.66.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 你的可信任遠程管理IP -j ACCEPTiptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPTiptables-save > /etc/sysconfig/iptables
systemctl restart iptables? 其他
# 允許已建立的傳入連接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# 允許DHCP傳入連接
iptables -A INPUT -i eth1 -p udp --dport 67:68 -j ACCEPT# 默認禁止路由轉發
iptables -P FORWARD DROP# 允許內網路由轉發
iptables -A FORWARD -s 192.168.66.0/24 -j ACCEPT? 后記,補充 2017-12-13 20:28
搗鼓了一下午,NAT 轉發當路由器供內網服務器上網終于搞定了,結果CentOS重啟后,發現 iptables 的配置丟失,竟然沒有永久保存?
太扯淡!
網上說這個問題的還很多,有人說可以制作自啟動腳本,在啟動時自動將 iptables 的規則重新注冊一次,
也算是一個解決辦法。
不過,思來想起,既然 CentOS 已經拋棄了 iptables ,那肯定是有一定道理的,firewalld 一定也有辦法實現同樣的功能吧!
firewall-cmd --permanent --zone=public --add-masquerade# 調整防火墻策略,開放 vrrp 協議,給 Keepalived 使用
# 否則可能導致【腦裂】問題,爭搶VIP,或者master掛掉之后backup無法正常工作
firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 0 --in-interface ens33 --protocol vrrp -j ACCEPT
firewall-cmd --reload
#搞定了。
當然其他功能端口的開放,這里就不啰嗦了 (0^0)。
轉載于:https://www.cnblogs.com/hope250/p/8033818.html
總結
以上是生活随笔為你收集整理的CentOS 7 下用 firewall-cmd / iptables 实现 NAT 转发供内网服务器联网的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 求一个微信公众号好听的名字
- 下一篇: bzoj 2588 Spoj 10628