Ubuntu 防火墙IP转发做NAT,内网集群共享网络(简单)
服务器架构:
系统:
Ubuntu 16.04 x64 使用自带防火墙 UFW
操作:
在有公网的服务器上,进行防火墙基本操作开启自己所需业务的端口,并按下方设置启动NAT;
其他内网机器修改网关或者路由表,即可使用NAT共享网络
UFW基本操作:
- 查看当前状态和防火墙规则
ufw status #Status: active 服务激活;如果没有配置规则,将不显示防火墙规则
- 设置默认动作
ufw default allow/deny #对未配置的端口执行默认允许/拒绝动作
- 添加允许/拒绝端口的规则
ufw allow 22/tcp #允许 22 tcp封包;还可以换成 22/udp,表示允许22端口 udp封包 ufw deny 22 #拒绝 22 端口 (udp+tcp)
- 删除允许/拒绝端口的规则
ufw delete allow/deny 20 #删除规则同添加一致 添加 22/tcp就删除 22/tcp,不能删除 22
- 启动/关闭/重载防火墙
通过ssh远程连接建议先设置 22/tcp允许规则再启动防火墙服务
ufw enable/disable/reload
防火墙配置转发
- 首先开启系统的IP转发
net.ipv4.ip_forward = 1 #增加或修改该字段,值设为1
/etc/sysctl.conf
- 生效
sysctl -p
- 设置防火墙的转发(修改俩个配置文件)
DEFAULT_FORWARD_POLICY="ACCEPT" #该值设为ACCEPT
/etc/default/ufw
# 注意默认规则内容都包含在 *filter...COMMIT 内
# 添加如下内容时注意 *nat...COMMIT 不能放在 *filter...COMMIT 内
# 172.17.0.0/16是私网网段*nat :PREROUTING - [0:0] :POSTROUTING - [0:0] -A POSTROUTING -s 172.17.0.0/16 -o eth0 -j MASQUERADE COMMIT
/etc/ufw/before.rules
- 重启防火墙,成功
设置网关/路由
- 修改网关
route add default gw 172.17.0.1 #IP为拥有公网服务器的私网地址
以上为临时修改生效且基本通用,永久修改请百度,博主发现不同系统配置文件修改方法差异太大
可以ping公网了! - 修改路由表(使用云产品VPC专有网络)
阿里云进入产品,专有网络,左侧选择路由表,点击添加路由条目
添加下一跳,选择具有公网IP的ECS
配置完成!
意义:
阿里云买ecs不配置公网IP可以省很多钱!
内网集群给每一个配公网ip太浪费,公网偶尔用一下(第三方软件脚本升级)
内网通信延迟低,速率快(网卡速率)
作者:saopanda 地址 https://www.cnblogs.com/saopanda/p/10906421.html
转载请附原链接,谢谢!