CentOS 7 下用 firewall-cmd / iptables 實現 NAT 轉發供內網服務器聯網

自從用 HAProxy 對服務器做了負載均衡以后，感覺后端服務器真的沒必要再配置並占用公網IP資源。
而且由於托管服務器的公網 IP 資源是固定的，想上 Keepalived 的話，需要擠出來 3 個公網 IP 使用，所以更加堅定了讓負載均衡后端服務器釋放公網 IP 的想法。
可是，后端服務器也不是簡單釋放公網 IP 就能正常工作的，正在運行的系統很多模塊依然需要具有連接外網獲取數據的能力。

所以就想到了用 CentOS 做一個軟路由（內網 NAT 轉發），如果能實現的話，就滿足了我的需求。
搜索並試驗了一番，目前發現用 iptables 是可行的，而且已經被我驗證有效的方案。

由於用到了 iptables，需要停止並禁用內置的 firewalld 防火牆服務。

☼ 停止內置的 firewalld

systemctl stop firewalld
systemctl disable firewalld

☼ 打開系統的 IP 轉發功能

echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

☼ 安裝 iptables 服務

yum -y install iptables-services
# 移除 iptables 服務
#yum -y remove iptables-services

☼ 查看 iptables 規則

iptables -L

☼ 清空默認的 filter 表

iptables -F

☼ 清空默認的 nat 表

iptables -t nat -F

☼ 默認規則，禁止所有入站，允許所有出站

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

☼ 默認規則，允許所有本地環回通信，出入站

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

☼ 重點，開啟 NAT 功能

iptables -t nat -A POSTROUTING -j MASQUERADE

☼ 完整的命令

可以在命令行下粘貼批量執行

systemctl stop firewalld
systemctl disable firewalld


yum -y install iptables-services


iptables -F
iptables -t nat -F
iptables -P INPUT  DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.66.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 你的可信任遠程管理IP -j ACCEPT


iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables-save > /etc/sysconfig/iptables
systemctl restart iptables

☼ 其他

# 允許已建立的傳入連接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允許DHCP傳入連接
iptables -A INPUT -i eth1 -p udp --dport 67:68 -j ACCEPT

# 默認禁止路由轉發
iptables -P FORWARD DROP

# 允許內網路由轉發
iptables -A FORWARD -s 192.168.66.0/24 -j ACCEPT

☼ 后記，補充 2017-12-13 20:28

搗鼓了一下午，NAT 轉發當路由器供內網服務器上網終於搞定了，結果CentOS重啟后，發現 iptables 的配置丟失，竟然沒有永久保存？
太扯淡！

網上說這個問題的還很多，有人說可以制作自啟動腳本，在啟動時自動將 iptables 的規則重新注冊一次，
也算是一個解決辦法。

不過，思來想起，既然 CentOS 已經拋棄了 iptables ，那肯定是有一定道理的，firewalld 一定也有辦法實現同樣的功能吧！

firewall-cmd --permanent --zone=public --add-masquerade

# 調整防火牆策略，開放 vrrp 協議，給 Keepalived 使用
# 否則可能導致【腦裂】問題，爭搶VIP，或者master掛掉之后backup無法正常工作
firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 0 --in-interface ens33 --protocol vrrp -j ACCEPT
firewall-cmd --reload
#

搞定了。

當然其他功能端口的開放，這里就不啰嗦了 (0^0)。