2.2 KiB
2.2 KiB
拓扑网络
多子网环境下的部署方案,当前设计只在顶层子网部署服务,每层子网采用双网卡服务器通过防火墙自动转发实现。
两个子网
# 配置`TURN`服务
`coturn`
#配置地址重写
`ip-rewrite`
三个及其以上子网
配置端口转发
# 配置转发:两个配置一个即可
vim /etc/default/ufw
---
DEFAULT_FORWARD_POLICY="ACCEPT"
---
vim /etc/sysctl.conf | vim /etc/ufw/sysctl.conf
---
net.ipv4.ip_forward=1 | net/ipv4/ip_forward=1
---
sysctl -p
# *filter之前添加
vim /etc/ufw/before.rules
---
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# TODO:补充完整规则
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
-A POSTROUTING -j MASQUERADE
COMMIT
---
ufw reload
# 配置`TURN`服务
`coturn`
#配置地址重写
`ip-rewrite`
端口转发规则
- DNAT: 目标IP转换
- SNAT: 源IP转换
- REDIRECT: 端口重定向
- MASQUERADE:源地址动态伪装
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
-A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -j REDIRECT --to-port 8080
-A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.100:8080
-A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.100:8080
-A POSTROUTING -p tcp --dport 80 -j SNAT --to-source 192.168.2.100
-A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 192.168.2.100
-A POSTROUTING -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables
清除端口转发规则
# 查看nat
iptables -L -t nat
# 清理nat
iptables -F -t nat
四张表
- nat: NAT功能(端口映射、地址映射等等)
- raw: 优先级最高
- filter:过滤功能
- mangle:修改特定数据包
五条链
- INPUT: 通过路由表后目的地为本机
- OUTPUT: 由本机产生向外转发
- FORWARDING: 通过路由表后目的地不为本机
- PREROUTING: 数据包进入路由表之前
- POSTROUTING:发送到网卡接口之前