子网集群通过接入公网的服务器Iptables转发上网
1. 对iptables进行初始化工作
清空filter表
iptables -F
清空nat表
iptables -t nat -F
默认禁止所有传入连接
iptables -P INPUT DROP
默认允许所有传出连接
iptables -P OUTPUT ACCEPT
默认禁止路由转发
iptables -P FORWARD DROP
2.打开系统的IP转发功能
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
不用重启,立即生效
sysctl -p
3. 配置iptables的传入连接
允许环回接口的传入连接
iptables -A INPUT -i lo -j ACCEPT
允许已建立的传入连接
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
允许SSH传入连接
iptables -A INPUT -i eno1 -p tcp –dport 22 -j ACCEPT 根据自己外网网卡配置
4. 配置iptables的NAT转发---实现子网上网
允许来自内网的传出连接
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
开启源NAT功能
即将来自内网主机的IP转换为外网IP。
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT –to 【公网ip】
5. 端口转发
通过端口转发实现子网内服务器特定端口对外服务功能
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 【公网端口】 -j DNAT --to-destination 【内网IP】: 指定子网服务器端口
eg:iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8001 -j DNAT --to-destination 172.31.2.51:22 将公网8001端口转向子网特定服务器22端口
如上实现则为所有客户端均可访问,若要指定ip可以访问则需要
iptables -t nat -A PREROUTING 【指定IP地址】-p tcp -m tcp --dport 【公网端口】 -j DNAT --to-destination 【内网IP】: 指定子网服务器端口
6.禁止访问
如果需要禁止某些ip访问端口则可以在filter中添加规则
iptables -I INPUT -p tcp --dport 8001 -j DROP 禁止所有访问该端口的请求
iptables -A INPUT -p tcp --dport 8001 -j ACCEPT 开启同理
允许特定ip访问特定端口则可仅对特定IP开放端口
-A INPUT -s 【特定ip】 -p tcp -m tcp --dport 8001 -j ACCEPT
iptables注意事项
使用指令iptables +xxxxxx会将iptables规则写入内存,重启iptables失效
如果想要把配置保存起来,可以执行 service iptables save
这样就不会每次重启 iptables 的时候配置就失效了。
当/etc/sysconfig/iptables 内容与内存中不一致时,重启iptables会出现错误,需要先保存在重启,重启读取的是/etc/sysconfig/iptables中的配置文件。
不要随便禁用22端口,保证ssh可以正常运行,可以省去很多麻烦