内网服务器通过另一台能访问公网的服务器实现访问公网, iptables NAT

置顶 已于 2022-05-05 13:53:13 修改
阅读量8.7k 收藏 34
点赞数 9
分类专栏: Linux 文章标签: 网关 iptables linux centos 运维
于 2020-03-05 17:06:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tmaccs/article/details/104677730
版权
一、服务器A,能访问公网

  • 网卡eth0, 配置内网IP
    vim /etc/sysconfig/network-scripts/ifcfg-eth0

    TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
NAME="eth0"
DEVICE="eth0"
ONBOOT="yes"
IPADDR=172.16.10.52 # 作为其它内网服务器的网关
NETMASK=255.255.255.0
GATEWAY=10.22.2.123 # 此处设置为能访问公网的IP, 如果还需要配置其他内网网卡,其网关都应该设置为此IP
DNS1=114.114.114.114
ZONE=public

    网关(GATEWAY)要设置为能访问公网的IP, 其IP地址作为其他内网服务器的网关。

  • 网卡eth1配置能连公网的IP

    TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
NAME="eth1"
DEVICE="eth1"
ONBOOT="yes"
IPADDR=10.22.2.123 # 能访问公网的IP
NETMASK=255.255.255.0
GATEWAY=10.22.2.254 # 公网网关
DNS1=114.114.114.114
ZONE=public
二、服务器B,只有内网IP,通过服务器A访问公网
  • eth0
    TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
NAME="eth0"
DEVICE="eth0"
ONBOOT="yes"
IPADDR=172.16.10.162
NETMASK=255.255.255.0
GATEWAY=172.16.10.52 # 服务器A的内网IP地址
DNS1=114.114.114.114
DNS2=8.8.8.8
    网关(GATEWAY)为服务器A的内网IP地址。
    配置网卡之后需执行service network restart生效。
三、配置ipv4转发
  • 修改服务器A配置文件 /etc/sysctl.conf,修改参数为1
    net.ipv4.ip_forward = 1
  • 生效
    sysctl -p
四、配置服务器A使服务器B及其他内网服务器能访问公网

  • 使用firewalld
    打开IP地址伪装,firewall-cmd --permanent --zone=public --add-masquerade

    或者配置服务器A的iptables规则
    • 命令
      iptables -t nat -A POSTROUTING -s 172.16.10.0/255.255.255.0 -j SNAT --to-source 10.22.2.123
      172.16.10.0/255.255.255.0指整个172.16.10.0网段的IP都生效,也可单独指定某台服务器的IP,如:172.16.10.162
    • 保存规则
      上面的命令即时生效,若需要下次启动也可用,需保存规则:
      service iptables save
      如果有提示:Unit iptables.service could not be found. 则需安装iptables-services
五、DNS解析失败的问题

以上配置之后,通过IP能访问公网,但是使用域名则不行,即使已经配置了dns解析服务器。
还需要在服务器A执行:
iptables -I FORWARD 1 -s 172.16.10.0/24 -j ACCEPT #允许所有源地在172.16.10.0/24的ip经过本机

配置iptables实现只允许内网公网访问外网,实现源地址转换为外网公共地址,实现过滤和控制功能
dhait的博客
07-06 2393
配置iptables实现只允许内网公网访问外网,实现源地址转换为外网公共地址,实现过滤和控制功能 (1)准备两台kali_Linux系统主机,一台为外网的连接端,一台内网机器,注意网络适配器 (2)IP设置 对于kali_1:192.168.26.133为内网IP地址 对于连接外网的机器kali_2: 其中,192.168.43.212为外网IP地址,连接外网,192.168.26.131连接内网 (3)将kali_1的网关等进行静态配置 mousepad /etc/network/interf
Linux-内网服务器通过代理服务器访问外网
db3265613的专栏
07-18 7274
Linux-内网服务器通过代理服务器访问外网
从外网访问内网服务器的方法
热门推荐
山不在高,有金则名
10-21 2万+
零、确保页面在内网可正常访问 比如,我的页面是:http://localhost:8080/desktop/admin_login.htm 一、先确认内网IP和外网IP 1、Windows系统的内网IP查询办法: a、按下Window+R快捷键,打开“运行”窗口; b、在“运行”窗口里输入“cmd”并按Enter键,打开命令(Command)窗口; c、在命令行中输入“ipco
使用端口映射,让自己的内网服务器的某个端口映射到外网
每天记录点滴,日后总有收获。
12-15 1万+
最近在外地出差, 因为代码服务器放在内网,而因为某些原因,公司的宽带并没有公网地址,所以在外地就没有办法拉取git代码了, 经过多方查找,终于找到了一个好点的解决方案。即使用SSH的返向连接,建立一个临时通道。到我阿里云外网的一台主机上,然后访问阿里云的那台主机就相当于访问内网的这台主机,类拟于建立了一个VPN。 前提条件:有一个外网能访问的主机。操作系统linux A  IP是:20.22
内网主机访问公网server,防火墙NAT实例讲解
最新发布
u013434525的博客
03-12 1219
内网主机网卡的源IP+源MAC经过NAT后变为,防火墙WAN口的IP+MAC目的IP(server的地址)一直会变(由DNS解析得到,DNS获取路径分为主机系统文件、主机系统缓存、查询配置的DNS服务器)C:\Windows\System32\drivers\etc\hosts或者/etc/resolv.conf。
linux服务器通过另一台能上网的服务器上网
huaxiaoxin1的博客
03-15 3036
linux服务器通过另一台能上网的服务器上网 2021.03.15 现有: 一台linux服务器,称为A(ubuntu18.04.5),无法上网; 一台windows服务器,称为B(windows server 2019),可以上网,且具备多张网卡NIC1-NIC4; 一条额外的网线; 目标: 让linux服务器能够上网; windows服务器也能保持上网; windows服务器的ip等会改变(远程桌面仍旧能够连接) 步骤 用网线连接A和B,B连接到空闲的NCI3口 B的配置: B中右下角,
linux 内网机器通过双网卡机器实现访问外网
...
09-10 2243
1.IP规划设置 主机名 ip地址 ip地址(第二个网卡配置的地址) 地址类别 web01 172.16.1.8 空 仅可访问内网主机 proxy 172.16.1.2 10.0.0.2 可访问内外网主机   2.修改网卡配置及iptables配置 ###########################  开始修改web主机0...
Linux内网服务器通过代理访问外网服务器
个人成长的轨迹记录
08-07 1万+
192.168.7.131可以通外网192.168.7.129通外网需要通过代理的方式实现192.168.7.129可以访问外网。
利用iptablesNAT代理实现内网访问外网
weixin_30551963的博客
06-24 570
利用NAT代理实现内网访问外网 背景及原理 若局域网中的两台计算机只能有一台能够访问外网,而这两台计算机之间能相互通信,那么可以配置能访问外网的那台服务器实现路由器的功能,即实现其他机器的NAT转换,从而使所有机器都能访问外网 环境模拟 在虚拟机中创建两台Linux系统(可以在创建一台后克隆另一台,这样做可以加快效率),分别命名为Linux1和Linux2,其中Linux1...
通过iptables实现端口转发和内网共享上网.docx
09-30
位于Linux中的eth0,内网IP是10.1.1.1/24,位于Linux中的eth1,我们的内网一台web服务器,地址是10.1.1.2/24,我们可以在这个PREROUTING链中改变目的地址,让互联网用户通过这个公网IP访问我们内部的这个web服务器...
Linux 利用 IP转发使内网连接到公网
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-06 5376
项目背景描述 实现方法 我们知道,Linux本身自带iptables包过滤,但是其还有一重要功能,即实现数据的转发,本文就利用Linux 自带 iptables 实现从一个网络接口到另一个接口的IP转发(数据包转发)。IP转发的概念是,使 Linux 机器像路由器一样将数据从一个网络发送到另一个网络。所以,它能作为一个路由器或者代理服务器实现将一个连接的互联网或者网络连接共享给多个客户端机器。 ......
通过局域网中另一台电脑上网
12-29
本文叙述通过配置本地连接等网络配置,使用局域网中其他电脑进行上网。以WindowsXP为例。
内网用户通过域名或公网IP访问内部服务器的解决办法
04-23
内网用户通过域名或公网IP访问内部服务器的解决办法
利用Linux下的NAT功能实现多机共用一个IP地址.pdf
09-07
在企业中,NAT技术可以用于实现多台服务器共用一个公网IP地址,提高网络的安全性和可靠性。 NAT技术可以解决IP地址的紧缺问题,缓解网络拥堵问题,提高网络的安全性和可靠性。因此,NAT技术在当前的网络环境中具有...
iptables内网映射到公网地址
xiegan110的博客
04-06 1444
案例:在一组集群中,只有内网服务器需要走反代的公网出去。 内网某台服务器ip:192.168.142.82 反代的内网ip:192.168.142.90 1.内网服务器的网卡的网关设置成192.168.142.90 #cat ifcfg-enp2s0f1 TYPE=Ethernet PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=none DEFROUTE...
内网服务器设置代理访问外网
HYLhyl7880的博客
08-24 4713
内网服务器设置代理访问外网 背景 首先需要两台云服务器,其中服务器A无公网IP,服务器B有公网IP。 A B 110.40.255.180 172.17.64.11 172.17.64.17 配置A代理 直接配置环境变量即可。 cd /etc/profile.d/ vim proxy.sh 进入proxy.sh文件后,在文件中写入 export http_proxy=http://172.17.64.17:10991 #服务器要通过172.17.64.17服务器的10991端口的
Linux CentOS7配置iptables端口映射将客户端与另一台主机内的虚拟机服务连接
Insupport的博客
05-06 2447
#这是一篇配置用户主机端口访问Linux服务器内KVM虚拟机的记录文章。 各位看官朋友有没有遇到过这种访问情况: 自己有一台笔记本电脑A,还有一台主机B。自己把主机B刷成了linux服务器系统,并且在服务器内安装创建了一台KVM虚拟服务器C。 而这时需要用A连接访问C的部分服务功能,但是A只能访问B,而B却可以访问C,因为C桥接的是B的网卡可以访问联网和A的地址,但是A却无法访问C。 这时候需要通过B的防火墙端口将A的访问转发给C。 使用的服务器版本:CentOS7 1、查看CentOS内核转发: net
运维内网服务器借助通过某台可上外网的服务器实现公网访问
没枕头我咋睡觉
02-24 393
内网服务器无法连接公网,但是办公电脑可以连接内网服务器又可以连接公网。进行到这里已经完成所有部署,可通过curl www.baidu.com验证。此处配置为win10系统笔记本。1、Internet配置。
使用可上网的服务器作为网关实现另一台服务器上网
小威的博客
06-05 3724
本文的目标是利用一台可以上网的服务器作为网关,使在同一局域网中的所有服务器都可以上网。
一条公网IP,内网多台服务器
12-28
### 配置单个公网IP用于内网多个服务器 #### 1. 网络架构设计 为了实现单个公网 IP 地址服务于多个内部网络中的服务器,通常采用 NAT(Network Address Translation)技术。NAT 可以使多台设备通过同一个公共 IP 访问联网,并允许外部流量定向到特定的内部服务器。 对于给定的情况——即拥有固定公网 IP `15.6.7.8` 和内网私有 IP `172.16.73.99` 的阿里服务器环境[^1],可以通过设置路由器或防火墙来进行端口转发和地址转换操作。 #### 2. 实现方法 ##### 方法一:基于端口号区分同服务 如果各台服务器提供同类型的服务,则可以根据同的端口号来分配请求至相应的机器上: - **HTTP/HTTPS Web Server**: 将标准 HTTP (80) 或 HTTPS (443) 请求映射到指定的一台或多台Web服务器; - **SSH Access**: 对于 SSH 登录需求,可以选择其他未被占用的安全端口如 2222 来代替默认的 22 端口; 这种方法简单易行,在大多数情况下能满足基本的需求。 ```bash iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.16.73.99:80 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ``` 上述命令展示了如何利用 iptables 工具将来自公网接口的目标为 80 端口的数据包重定向到内网一台主机上的相应端口[^2]。 ##### 方法二:使用负载均衡器 当存在大量并发连接时,建议引入专业的硬件或软件级别的负载均衡解决方案。这类方案仅能够有效地分发流量,还能提高系统的可用性和性能表现。 例如,可以部署 HAProxy 或 Nginx Plus 这样的开源工具作为反向代理服务器,它们支持会话保持、健康监测等功能特性,从而更好地管理和优化资源利用率。 #### 3. 安全考虑与最佳实践 - 应用严格的 ACLs (Access Control Lists),仅开放必要的端口和服务; - 定期审查日志文件,监控异常活动模式; - 考虑实施 DDoS 攻击防护措施; - 如果可能的话,尽量减少暴露在外网的服务数量,只保留真正需要对外提供的部分; - 利用 SSL/TLS 加密通信链路,保护敏感数据传输安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值