Ubuntu 防火墙IP转发做NAT，内网集群共享网络(简单)

服务器架构：

系统：

Ubuntu 16.04 x64 使用自带防火墙 UFW

操作：

在有公网的服务器上，进行防火墙基本操作开启自己所需业务的端口，并按下方设置启动NAT；

其他内网机器修改网关或者路由表，即可使用NAT共享网络

UFW基本操作：

1. 查看当前状态和防火墙规则
   

   ufw status　　　　#Status: active 服务激活；如果没有配置规则，将不显示防火墙规则

2. 设置默认动作
   

   ufw default allow/deny　　　　#对未配置的端口执行默认允许/拒绝动作

3. 添加允许/拒绝端口的规则

   ufw allow /tcp　　　　#允许  tcp封包；还可以换成 /udp，表示允许22端口 udp封包
   ufw deny 　　　　　　　#拒绝  端口 （udp+tcp）

4. 删除允许/拒绝端口的规则

   ufw delete allow/deny 　　　　#删除规则同添加一致 添加 /tcp就删除 /tcp，不能删除 

5. 启动/关闭/重载防火墙
   通过ssh远程连接建议先设置 22/tcp允许规则再启动防火墙服务
   

   ufw enable/disable/reload

防火墙配置转发

1. 首先开启系统的IP转发

   net.ipv4.ip_forward = 　　　　#增加或修改该字段，值设为1

   /etc/sysctl.conf

2. 生效

   sysctl -p

3. 设置防火墙的转发(修改俩个配置文件)
   

   DEFAULT_FORWARD_POLICY="ACCEPT"　　　　#该值设为ACCEPT

   /etc/default/ufw

   #　注意默认规则内容都包含在 *filter...COMMIT 内
   #　添加如下内容时注意 *nat...COMMIT 不能放在 *filter...COMMIT 内
   #  172.17.0.0/16是私网网段

   *nat
   :PREROUTING - [0:0]
   :POSTROUTING - [0:0]
   -A POSTROUTING -s 172.17.0.0/16 -o eth0 -j MASQUERADE
   COMMIT

   /etc/ufw/before.rules

4. 重启防火墙，成功

设置网关/路由

1. 修改网关

   route add default gw 172.17.0.1　　　　#IP为拥有公网服务器的私网地址

   以上为临时修改生效且基本通用，永久修改请百度，博主发现不同系统配置文件修改方法差异太大
   
   可以ping公网了！

2. 修改路由表（使用云产品VPC专有网络）
   
   阿里云进入产品，专有网络，左侧选择路由表，点击添加路由条目

   
   添加下一跳，选择具有公网IP的ECS

   配置完成！

意义：

阿里云买ecs不配置公网IP可以省很多钱！

内网集群给每一个配公网ip太浪费，公网偶尔用一下（第三方软件脚本升级）

内网通信延迟低，速率快（网卡速率）

作者：saopanda 地址 https://www.cnblogs.com/saopanda/p/10906421.html

转载请附原链接，谢谢！