centos7 利用firewalld自建NAT閘道器
阿新 • • 發佈:2018-11-04
在傳統的網路結構中,每個子網都有一個閘道器,子網內的主機通過這個閘道器進行上網,閘道器進行地址轉換,修改IP報文的源地址等,具體的原理有興趣的百度一下就知道了。
在傳統機房內幾乎都是有路由器的,而路由器也自帶閘道器的功能,基本用不到自建NAT,但是在如今橫行的公有云中,卻是有著很大的需求,例如阿里雲,阿里雲內網中沒有公網IP的電腦如何通過有公網IP的電腦進行上網,這就需要NAT閘道器。其他公有云也類似,這裡以阿里雲進行舉例
只能通過專有網路中的虛擬路由器,在路由器中新增路由,通過將所有目標請求都指定下一跳到有公網IP的ecs上,這樣才可以將內網中的ecs請求都發到有公網ip的ecs上。
實現步驟如下:
## 進入阿里雲控制檯,專有網路,路由器,建立路由表:
centos7 <wbr>利用firewalld自建NAT閘道器
目標網段設為所有:0.0.0.0/0
下一跳指定ecs例項為專有網路內有公網IP的ecs例項。
## 在指定的帶有公網IP的例項上操作,啟動NAT閘道器的SNAT源地址轉換功能。
## 開啟firewalld防火牆,預設是關閉的。
$ systemctl enable firewalld
$ systemctl start firewalld
## 網絡卡預設是在public的zones內,也是預設zones。永久新增源地址轉換功能
$ firewall-cmd --add-masquerade --permanent
$ firewall-cmd --reload
## 新增網絡卡的ip轉發功能,新增如下配置
$ vim /etc/sysctl.conf
----------------------------------------------------------------------------------------------------------
net.ipv4.ip_forward=1
----------------------------------------------------------------------------------------------------------
## 過載網路配置生效
$ sysctl -p
OK,到此,自建NAT閘道器成功,實現了內網主機通過這臺機進行上網,而反向的DNAT埠轉發也是可以通過firewalld的埠轉發功能來實現。
這樣就不需要買阿里雲的收費NAT網關了。
另:如果不是公有云主機,而是本機機房的話,那就更簡單了:
##直接類似的開啟可以訪問網路的主機的firewalld防火牆源地址轉化功能,和網絡卡的ip_forward轉發功能。
## 內網電腦只需修改閘道器,指定閘道器為配置了snat功能的電腦,則可以通過改電腦訪問網路。
$ vim /etc/sysconfig/network-scripts/ifcfg-exxxxx
----------------------------------------------------------------------------------------------------------
GATEWAY="192.168.9.2"
DNS1="xxx.xxx.xxx.xxx" (跟閘道器伺服器的dns相同)
----------------------------------------------------------------------------------------------------------
## 重啟網路配置,生效
$ systemctl restart network
OK,到此,自建NAT閘道器就順利完成。