centos系统配置转发和iptables使之成为网关

centos系统配置转发和iptables使之成为网关

在当下互联网环境中,有很多内网服务器不能出网,例如安装软件包,更新程序之类的,偶尔会需要出网,下面这种方式就是专门解决这个事情的。
如下配置在 centos 6 7 8 rocky 8 9 都生效
前提是内网环境中是有一台可以出网的服务器。
前期准备
yum install -y epel-release
yum -y install net-tools vim lrzsz wget git  yum-utils telnet  unzip tar iptables-services lm_sensors gcc make

关闭firewalld防火墙及selinux

systemctl disable --now firewalld
sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config
setenforce 0
配置如下,很简单
找到当前可以出网的那一台服务器
在其服务器上配置
参数优化

vim /etc/sysctl.conf
# 一下这些设置一般用于高负载环境中,比如高并发的Web服务器或数据库服务器,
# 以优化性能和提高系统稳定性。调整这些参数时需要根据具体的使用场景和负载情况进行测试和优化。

net.ipv4.ip_forward = 1
# 启用IPv4数据包转发,通常用于路由器或网关。

net.ipv4.conf.default.rp_filter = 1
# 启用逆向路径过滤,以防止伪造源地址的IP包。

net.ipv4.conf.default.accept_source_route = 0
# 禁用源路由,这样就不会接受源路由数据包。

net.ipv4.tcp_syncookies = 1
# 启用TCP同步 cookies,以防止SYN洪水攻击。

net.ipv4.tcp_tw_reuse = 1	
# 允许重新使用TIME_WAIT状态的TCP连接,以减少资源消耗。

net.ipv4.tcp_tw_recycle = 0
# 禁用TIME_WAIT状态的TCP连接回收,因为它可能会导致NAT环境中的连接问题(该参数在较新的Linux内核中已被弃用)。

net.ipv4.tcp_fin_timeout = 30
# 设置TCP连接的FIN_WAIT2状态超时时间为30秒。

net.ipv4.tcp_keepalive_time = 30
# 设置TCP连接的Keepalive探测时间为30秒,以检测连接的健康状态。

net.ipv4.ip_local_port_range = 2048 65000
# 设置本地端口的范围,供客户端使用的端口号范围从2048到65000。

net.ipv4.tcp_max_syn_backlog = 65536
# 增加TCP SYN队列的最大长度,以防止SYN洪水攻击。

net.ipv4.tcp_mem = 94500000 915000000 927000000
# 设置TCP内存参数,用于调整TCP缓存的大小。这三个值分别表示低水位、中水位和高水位。

net.ipv4.tcp_max_orphans = 3276800
# 设置最大孤儿连接数(即没有任何用户进程处理的连接)。

net.netfilter.nf_conntrack_max = 2097152
# 设置Netfilter连接跟踪表的最大条目数,影响NAT和防火墙的性能。

#####  内核和系统资源相关配置

kernel.sysrq = 0
# 禁用SysRq(系统请求)键,这是一种通过特定的键盘快捷键触发内核功能的方式。

kernel.core_uses_pid = 1
# 启用内核使用PID(进程ID)作为core dump文件的前缀,以便更容易识别core文件来源的进程。

kernel.msgmnb = 65536
# 设置消息队列的最大字节数。

kernel.msgmax = 65536
# 设置消息队列中单个消息的最大字节数。

kernel.shmmax = 68719476736
# 设置共享内存段的最大字节数(64GB)。

kernel.shmall = 4294967296
# 设置系统中共享内存页的最大总数。

fs.file-max = 655350
# 设置系统可以打开的最大文件描述符数量。

vm.overcommit_memory = 1
# 设置内存超分配策略,使系统总是允许超分配内存(尽管实际使用情况可能会导致OOM(内存不足))。

vm.max_map_count = 262144
# 设置每个进程可以拥有的最大内存映射区域数。

##### 网络缓冲区和队列相关配置

net.core.netdev_max_backlog = 32768
# 设置网络设备接收队列的最大长度,以提高网络吞吐量。

net.core.somaxconn = 32768
# 设置每个端口上允许的最大连接队列长度,以提高网络服务的并发能力。

net.core.wmem_default = 8388608
# 设置网络套接字发送缓冲区的默认大小(8MB)。

net.core.rmem_default = 8388608
# 设置网络套接字接收缓冲区的默认大小(8MB)。

net.core.rmem_max = 16777216
# 设置网络套接字接收缓冲区的最大大小(16MB)。

net.core.wmem_max = 16777216
# 设置网络套接字发送缓冲区的最大大小(16MB)。

net.ipv4.tcp_synack_retries = 1
# 设置TCP连接的SYN-ACK重试次数,减少连接建立时间。

net.ipv4.tcp_syn_retries = 1
# 设置TCP连接的SYN重试次数,减少连接建立时间。
修改配置使得当前的Linux系统可以作为路由器,转发经过的IPv4数据包
echo "1" >/proc/sys/net/ipv4/ip_forward
将IPv4数据包转发功能启用。设置为 1 表示允许数据包转发;如果设置为 0,则禁止数据包转发。

/proc/sys/net/ipv4/ip_forward
一个用于控制Linux内核参数的虚拟文件,专门用于配置IPv4数据包转发功能。
修改iptables配置
vim /etc/sysconfig/iptables

新增
*nat
:PREROUTING ACCEPT [1933951542:108342552632]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [2340407104:140430495260]
-A POSTROUTING -o ens33 -j MASQUERADE
COMMIT

注释掉
# 这条规则的作用是拒绝所有经过本机的转发流量
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited

# 确保 ens33 是系统中存在的网络接口。使用 ip a 命令确认接口名称,改为自己的


重启 iptables
systemctl restart iptables

当前能出网的服务器IP,以上配置都是在这台配置

需要出网的内网服务器IP


大功告成! 完结撒花

相关推荐
山东布谷科技官方1 分钟前
布谷直播源码部署服务器关于数据库配置的详细说明
运维·服务器·数据库·直播系统源码·直播源码·直播系统搭建·直播软件开发
One_Blanks2 分钟前
渗透测试-Linux基础(1)
linux·运维·安全
Perishell3 分钟前
无人机避障——大疆与Airsim中的角速度信息订阅获取
linux·动态规划·无人机
爱吃喵的鲤鱼6 分钟前
linux进程的状态之环境变量
linux·运维·服务器·开发语言·c++
dessler18 分钟前
Linux系统-ubuntu系统安装
linux·运维·云计算
Tony聊跨境22 分钟前
独立站SEO类型及优化:来检查这些方面你有没有落下
网络·人工智能·tcp/ip·ip
向阳121825 分钟前
Dubbo负载均衡
java·运维·负载均衡·dubbo
2403_875736871 小时前
道品科技智慧农业中的自动气象检测站
网络·人工智能·智慧城市
荒Huang1 小时前
Linux挖矿病毒(kswapd0进程使cpu爆满)
linux·运维·服务器
海阔天空_20131 小时前
Python pyautogui库:自动化操作的强大工具
运维·开发语言·python·青少年编程·自动化