國內徐庄1.1.1.1 內網地址192.168.0.0/16 gre隧道適配器地址 172.16.0.45
國外2.2.2.2內網地址無 gre隧道地址172.16.0.46
國外 centos6 國內ros
1、查看當前centos版本號
cat /etc/redhat-release
2、查看當前CENTOS是否安裝防火牆以及狀態
service iptables status
如果提示 iptables:unrecognized service 則表示系統尚未安裝。
安裝防火牆
yum install iptables
3、配置防火牆
vi /etc/sysconfig/iptables
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#允許哪些段進行NAT,這里注意-o后面跟的是網卡,要用ifconfig看當前外網IP在哪個網卡上,我這里是eth0。
如果vps有子網卡的情況,比如外網IP是在venet0:0上面,xxx:0,xxx:1等等的時候,注意把-0的接口寫到venet0上,而不要寫到子接口上
如果vps有子網卡的情況,比如外網IP是在venet0:0上面,xxx:0,xxx:1等等的時候,注意把-0的接口寫到venet0上,而不要寫到子接口上
-A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
-A POSTROUTING -s 172.0.0.0/8 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 允許已建立的或相關連的通行
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#允許本地回環接口
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#允許本機對外訪問
-A OUTPUT -j ACCEPT
# 允許訪問SSH端口,如果端口修改了可以更改相應端口號
-A INPUT -p tcp --dport 22 -j ACCEPT
#允許公司IP段完全訪問centos
-A INPUT -p ALL -s 1.1.1.1/29 -j ACCEPT
#允許公司內網段通過防火牆
-A FORWARD -p ALL -s 192.168.0.0/16 -j ACCEPT
-A FORWARD -p ALL -s 172.0.0.0/8 -j ACCEPT
#禁止TCP新連接以及不存在的連接
-A INPUT -m state --state NEW,INVALID -j DROP
COMMIT
重啟防火牆
service iptables restart
設置防火牆開機就啟動
chkconfig iptables on
4、修改系統內核,允許做為路由轉發,修改內核,必須重啟生效
vi /etc/sysctl.conf
net.ipv4.ip_forward = 1
5、
在rc.local增加建立隧道的命令
vi /etc/rc.local
#建立隧道,本地地址和遠程地址
ip tunnel add tunnel0 mode gre remote 1.1.1.1 local 2.2.2.2 ttl 245
#建立隧道的mtu為1400
ip link set tunnel0 up mtu 1400
#隧道地址為172.16.0.46/30
ip addr add 172.16.0.46/30 dev tunnel0
#為公司內網IP增加靜態路由表
ip route add 192.168.0.0/16 dev tunnel0
ip route add 172.0.0.0/8 dev tunnel0
6、查看當前centos所有TCP,UDP連接的命令
cat /proc/net/nf_conntrack
cat /proc/net/nf_conntrack | grep x.x.x.x
在ROS的操作
設置GRE隧道地址
設置GRE隧道地址
把隧道地址打上
將源地址是apple.com的打標成APPLE
設置路由表,標簽為apple的就走隧道172.16.0.38出去
修改MSS值
修改MSS或者MTU值可能會造成流量變大的情況,但是如果不修改,可能會造成網絡能PING通,但是開不了網頁,也就是控制包頭在1524之內。