百度开放云网络与安全最佳实践(五)NAT网关的配置
云****人 · 云****人 发布于2016-07-25 18:27 浏览:3632 回复:3

百度开放云NAT网关的配置方案


需求

        客户通过NAT网关的方式,实现对外访问的统一管理,同时内部服务也隐藏了身份,保证了业务系统更高的安全性


解决方案:

       


配置步骤详情

Part1-云服务器A(NAT网关)的配置步骤

#1. 工单申请

为了确保开放云中的资源安全,默认情况下不允许云服务器(BCC)发送出来数据包的源IP与开放云分配给其的IP不一致。但是该A云服务器(BCC)作为NAT网关设备,需要在向其他云服务器转发数据包,其源IP是后端真实的client端BCC的内网IP,所以需要在后台为此NAT网关的BCC的设置特殊的转发策略。请提工单申请,说明此NAT网关的BCC ID及EIP IP地址,并介绍业务场景, 等待工单审核。


#2. 确保iptables服务启动

工单申请审核通过后,开放云后台会对此云服务器A设置特殊的转发策略,因为在云服务器A上配置的NAT规则需要通过iptables服务来生效,因此请客户确保这个iptables服务是启动的


#3. 修改系统参数

修改/etc/sysctl.conf文件,将net.ipv4.ip_forward的值设置为1。如果文件没有没有net.ipv4.ip_forward字段,则新增一行,内容为“net.ipv4.ip_forward = 1”。
修改文件后,执行sysctl -p命令生效。


#4.配置NAT规则

建议针对每个客户机配置一条NAT规则,按需配置规则,命令如下:

iptables -t nat -A POSTROUTING -s SOURCE_IP -j SNAT --to NAT_IP

其中SOURCE_IP指的是客户机的内网IP,NAT_IP指的是NAT网关设备的内网IP


云服务器A上具体的操作如下:

iptables -t nat -A POSTROUTING -s 192.168.1.20 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.1.21 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.2.20 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.2.21 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.2.22 -j SNAT --to 192.168.1.5


Part2-客户通用服务器(B、C、D、E、F)的配置步骤

客户client机器(B、C、D、E、F)需要将默认路由指向NAT网关设备,如果将默认路由指向NAT网关设备,这样所有本子网之外的访问都会经过NAT网关设备。如果客户机挂在BLB后 端,BLB无法正常工作。为了不影响其他服务的访问,也避免所有的南北向流量经过NAT网关设备,我们需要修改客户机的路由,命令如下:

route add -net   10.0 .0.0/8  gw GATEWAY_IP
route add -net   100.64.0.0/10  gw GATEWAY_IP
route delete   default  gw GATEWAY_IP
route add default gw NAT_IP

其中GATEWAY_IP是当前的网关IP,NAT_IP是NAT网关设备的IP


云服务器B上具体操作如下:

route add -net 10.0.0.0/8 gw 192.168.0.1
route add -net 100.64.0.0/10 gw 192.168.0.1
route delete default gw 192.168.0.1
route add default gw 192.168.1.5

其他云服务器(C、D、E、F)操作,与云服务器B上操作一致


Part3-安全策略的配置步骤

设置安全组,打开安全策略,允许A、B、C、D、E、F访问外网


Part4-测试验证

使用VNC分别登录云服务器C、D、E、F,ping www.baidu.com,验证NAT网关可用性,以云服务器B为例的测试如下:





点赞  ( 0 )
收藏
评论(3)
共3条回复 最后由2****m回复于2019-09-03 16:48
#2x****s回复于2016-07-28 18:28:54

好文必须顶一个

0
#3睿****字回复于2016-09-27 17:13:25

棒棒哒

0
#42****m回复于2019-09-03 16:48:34

图片都挂了

0
TOP