如上图,有这样一种场景,我们经常遇到,局域网内有两台服务器,Server 1和Server 2,Server 1可以通通网,Server 2只能通内网,无法直接访问公网

现在想Server 2能访问到公网,怎么做?

通常的做法,是在Server 1服务器上开一个代理服务,比如Squid、Nginx等,然后在Server 2服务器上在profile中配置proxy代理

这种方法的弊端是,太局限,大多是情况只能7层代理,而且还会涉及到https代理证书问题等

Server 2与Server 1之间配置vxlan隧道

Server 1配置

 Server 1作为NAT服务器,需要做一些NAT的网关改造

# rp_filter设置为0

for f in /proc/sys/net/ipv4/conf/*/rp_filter

do

    echo 0 > $f

done

# ip forward转发开启0

/sbin/sysctl -w net.ipv4.conf.all.forwarding=1

# 设置TCP超时参数

/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=900

/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_time_wait=30

/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_close_wait=30

/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_fin_wait=60

/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_syn_sent=60

/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_syn_recv=30

# 连接跟踪nf_conntrack_tcp_loose设置0,不跟踪已经完成握手的流,主要是连接跟踪性能优化项

# nf_conntrack_tcp_loose选项如果设置为0,对于未完成三次握手的流,内核连接跟踪模块将不会为其创建conntrack结构。反之,值为1的话,将为任意收到的tcp报文创建conntrack

/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_loose=0

# 创建点对点vxlan隧道

# 方法:ip link add vxlan0 type vxlan id 1 remote {Server2} local {Server1} dstport ${vxlan封包的目的端口},linux目的端口号(VXLAN Port)默认为8472,指定为0,使用默认端口

ip link add vxlan0 type vxlan id 1 local 192.168.30.11 dsport 0

# 调整MTU

ifconfig vxlan0 mtu 1400

# 配置一个vxlan地址,最好单独使用一个网段

ip addr add 192.168.1.1/24 dev vxlan0

# 启动vxlan

ip link set vxlan0 up

# 可以查看vxlan0配置信息

ip addr show

以上配置完成后,最重要的一步,设置iptables snat转换策略

iptables -t nat -I POSTROUTING ! -s 192.168.30.11 -j SNAT --to 192.168.30.11

这样Server1服务器就被改造成一个NAT网关,当然Server 1本身的上网等是没有任何问题的

接着配置Server 2

# 删除默认路由,因为要配置Server 2路由走vxlan,走Server1作为网关,所以要删除原先的默认路由

route del default

# 和Server 1一样添加vxlan

ip link add vxlan0 type vxlan id 1 remote 192.168.30.11 local 192.168.30.12 dsport 8472

# 启动vxlan0

ifconfig vxlan0 up

# 修改MTU和Server 1一致

ifconfig vxlan0 mtu 1400

# 添加路由

route add 192.168.1.1 dev vxlan0

route add default gw 192.168.1.1

# 启用时间戳

sysctl -w net.ipv4.tcp_timestamps=0

# rp_filter设置为0

for f in /proc/sys/net/ipv4/conf/*/rp_filter

do

    echo 0 > $f

done

以上配置完成后,Server 2与Server 1之间通过vxlan实现通讯,Server 2默认路由走vxlan dev,然后指向Server 1,Server 1配置了iptable snat转发,所以Server 2到公网的所有请求都被Server 1转发出去,至此,Server 2实现公网访问

中间有个MTU的修改,这里说下原因

在TCP封装vxlan报文的时候,会增加50字节,如下图

所以这里避免转发过程中要分片,所以设置vxlan0的MTU为1400,这里可以通过抓包具体实测确定MTU大小

通过以上方法配置的内网转发,比通过Nginx、Squid等方式配置的7层代理要方便很多,可以解决很多7层以下公网访问的问题

  

如何让一台内网服务器连接公网? (qq.com) 原文出处

vxlan结合iptables-snat实现内网服务器公网访问的更多相关文章

  1. sockets+proxychains代理,使内网服务器可以访问外网

    Socks5+proxychains做正向代理 1.         应用场景: 有一台能上外网的机子,内网机子都不能连外网,需求是内网机子程序需要访问外网,做正向代理. 2.         软件 ...

  2. CentOS 7 下用 firewall-cmd / iptables 实现 NAT 转发供内网服务器联网

    自从用 HAProxy 对服务器做了负载均衡以后,感觉后端服务器真的没必要再配置并占用公网IP资源. 而且由于托管服务器的公网 IP 资源是固定的,想上 Keepalived 的话,需要挤出来 3 个 ...

  3. 【干货】ECS服务器OPENVPN搭建,方便管理所有内网服务器

    [干货]ECS服务器OPENVPN搭建,方便管理所有内网服务器 使用场景 一台有外网的ECS服务器+N台无外网的ECS服务器,使用OPENVPN管理全部的ECS服务器(包括无外网的ECS服务器). 鉴 ...

  4. 阿里云内网和公网NTP服务器和其他互联网基础服务时间同步服务器

    阿里云为云服务器ECS提供了内网NTP服务器,对于阿里云以外的设备,阿里云同时提供了 公网NTP服务器,供互联网上的设备使用. 内网和公网NTP服务器 以下为阿里云提供的内网和公网NTP服务器列表. ...

  5. OpenWRT DNS无法解析WAN连接的内网服务器域名

    系统版本OpenWrt Chaos Calmer 15.05.1,网络连接为:WAN口连接内网10.x.x.x网段,WAN口设置为静态IP.设置L2TP接口,通过L2TP访问外网.问题出现于,所有外网 ...

  6. centos7下安装openvpn,访问内网服务器 (二) windows访问

    一.简介 在上一章中已经安装好了openvpn,并且已经启动成功,现在就可以通过openvpn的客户端进行连接访问内网服务器了. 二.安装openvpn客户端 下载地址: https://www.te ...

  7. H3C SecPath U200-S 如何在内网使用外网IP地址访问内网服务器

    H3C SecPath U200-S 如何在内网使用外网IP地址访问内网服务器 ------------------------------------------------------------ ...

  8. 内网服务器离线编译安装mysql5.7并调优

    目录 内网服务器离线编译安装mysql5.7并调优 前言 关于MySQL 一.MySQL安装篇 部署环境 前期准备工具 挂载系统ISO镜像,配置yum源 二.MySQL调优篇 1.对MySQL进行安全 ...

  9. 阿里云vpc网络SNAT实现内网实例通外网

    需求场景: 因费用和安全考虑,内网部分机器没有分配公网IP,没绑定弹性公网IP,没有购买NAT服务,但是内网机器需要访问外网部分资源,如发送邮件. 操作步骤如下: 1.查看外网上的转发功能的开启没开启 ...

  10. 使用pycharm、跳板机连接内网服务器

    使用pycharm.跳板机连接内网服务器 接手实验室服务器后,大部分同学在GPU集群上跑程序都是直接在ssh界面上跑,这里想着通过pycharm通过跳板机来连接服务器. 总体就是实验室服务器仅限内网访 ...

随机推荐

  1. P6_认识小程序页面

    JSON 配置文件 新建小程序页面 只需要在 app.json -> pages 中新增页面的存放路径,小程序开发者工具即可帮我们自动创建对应的页面文件 修改项目首页 只需要调整 app.jso ...

  2. 微信小程序【关于地址信息的接入以及自动选择当前位置】

    在做收货地址的时候,通常会让用户填写或者打开地图选择收获地址,此时就需要用到微信提供的地址API,在使用地址API的时候需要注册对应的API,而且地址API会经常调整,需要关注官方公告,下面就是关于地 ...

  3. clicknium-划时代的自动化

    说起UI自动化,selenium一直是不可替代的存在,它的安装量.百度数量已经奠定了它在自动化.爬虫等相关领域的霸主低位,可以说,只要涉及到UI自动化,选selenium就对了. 细数过往,相关的UI ...

  4. JavaScript 如何验证 URL

    前言 当开发者需要为不同目的以不同形式处理URL时,比如说浏览器历史导航,锚点目标,查询参数等等,我们经常会借助于JavaScript.然而,它的频繁使用促使攻击者利用其漏洞.这种被利用的风险是我们必 ...

  5. 数位 dp,但是做题笔记

    这玩意儿还要学自己推不出来的 SX 是屑. 数位 dp,顾名思义,是根据数位做 dp,每个数位每个数位转移,炒个例子 windy 数. 求 \([l, r]\),我们改成求 \(1\sim r\) 与 ...

  6. 首个比较研究表明维持期强柱患者减量续用TNFi疗效尚佳且药费省

    首个比较研究表明维持期强柱患者减量续用TNFi疗效尚佳且药费省 Zavada J, et al. Ann Rheum Dis. 2016,75: 96-102. 电邮发布日期: 2016年5月4日 关 ...

  7. NSDT可编程3D场景

    推荐:将 NSDT场景编辑器 加入你的3D开发工具链. NSDT编辑器简化了WebGL 3D应用的开发,完全兼容Three.JS生态.本文介绍如何在自己的应用中嵌入使用NSDT编辑器搭建的3D场景,并 ...

  8. 使用express设置静态目录,创建服务,响应get请求

    // 1.引入express const express = require('express');//在node应用中载入express // 2.创建应用对象 const app = expres ...

  9. mysql-8版本优化建议

    mysql-8版本优化 参考官方文档:https://dev.mysql.com/doc/refman/8.0/en/

  10. 桌面应用(.exe)设置窗口默认最大化、全屏(electron)

    设置窗口默认最大化.全屏(electron) 一.默认最大化 win = new BrowserWindow({show: false}) win.maximize() win.show() 二.默认 ...