centos系统配置转发和iptables使之成为网关

centos系统配置转发和iptables使之成为网关

在当下互联网环境中，有很多内网服务器不能出网，例如安装软件包，更新程序之类的，偶尔会需要出网，下面这种方式就是专门解决这个事情的。

如下配置在 centos 6 7 8 rocky 8 9 都生效

前提是内网环境中是有一台可以出网的服务器。

前期准备

yum install -y epel-release
yum -y install net-tools vim lrzsz wget git  yum-utils telnet  unzip tar iptables-services lm_sensors gcc make

关闭firewalld防火墙及selinux

systemctl disable --now firewalld
sed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config
setenforce 0

配置如下，很简单

找到当前可以出网的那一台服务器
在其服务器上配置
参数优化

vim /etc/sysctl.conf
# 一下这些设置一般用于高负载环境中，比如高并发的Web服务器或数据库服务器，
# 以优化性能和提高系统稳定性。调整这些参数时需要根据具体的使用场景和负载情况进行测试和优化。

net.ipv4.ip_forward = 1
# 启用IPv4数据包转发，通常用于路由器或网关。

net.ipv4.conf.default.rp_filter = 1
# 启用逆向路径过滤，以防止伪造源地址的IP包。

net.ipv4.conf.default.accept_source_route = 0
# 禁用源路由，这样就不会接受源路由数据包。

net.ipv4.tcp_syncookies = 1
# 启用TCP同步 cookies，以防止SYN洪水攻击。

net.ipv4.tcp_tw_reuse = 1	
# 允许重新使用TIME_WAIT状态的TCP连接，以减少资源消耗。

net.ipv4.tcp_tw_recycle = 0
# 禁用TIME_WAIT状态的TCP连接回收，因为它可能会导致NAT环境中的连接问题（该参数在较新的Linux内核中已被弃用）。

net.ipv4.tcp_fin_timeout = 30
# 设置TCP连接的FIN_WAIT2状态超时时间为30秒。

net.ipv4.tcp_keepalive_time = 30
# 设置TCP连接的Keepalive探测时间为30秒，以检测连接的健康状态。

net.ipv4.ip_local_port_range = 2048 65000
# 设置本地端口的范围，供客户端使用的端口号范围从2048到65000。

net.ipv4.tcp_max_syn_backlog = 65536
# 增加TCP SYN队列的最大长度，以防止SYN洪水攻击。

net.ipv4.tcp_mem = 94500000 915000000 927000000
# 设置TCP内存参数，用于调整TCP缓存的大小。这三个值分别表示低水位、中水位和高水位。

net.ipv4.tcp_max_orphans = 3276800
# 设置最大孤儿连接数（即没有任何用户进程处理的连接）。

net.netfilter.nf_conntrack_max = 2097152
# 设置Netfilter连接跟踪表的最大条目数，影响NAT和防火墙的性能。

#####  内核和系统资源相关配置

kernel.sysrq = 0
# 禁用SysRq（系统请求）键，这是一种通过特定的键盘快捷键触发内核功能的方式。

kernel.core_uses_pid = 1
# 启用内核使用PID（进程ID）作为core dump文件的前缀，以便更容易识别core文件来源的进程。

kernel.msgmnb = 65536
# 设置消息队列的最大字节数。

kernel.msgmax = 65536
# 设置消息队列中单个消息的最大字节数。

kernel.shmmax = 68719476736
# 设置共享内存段的最大字节数（64GB）。

kernel.shmall = 4294967296
# 设置系统中共享内存页的最大总数。

fs.file-max = 655350
# 设置系统可以打开的最大文件描述符数量。

vm.overcommit_memory = 1
# 设置内存超分配策略，使系统总是允许超分配内存（尽管实际使用情况可能会导致OOM（内存不足））。

vm.max_map_count = 262144
# 设置每个进程可以拥有的最大内存映射区域数。

##### 网络缓冲区和队列相关配置

net.core.netdev_max_backlog = 32768
# 设置网络设备接收队列的最大长度，以提高网络吞吐量。

net.core.somaxconn = 32768
# 设置每个端口上允许的最大连接队列长度，以提高网络服务的并发能力。

net.core.wmem_default = 8388608
# 设置网络套接字发送缓冲区的默认大小（8MB）。

net.core.rmem_default = 8388608
# 设置网络套接字接收缓冲区的默认大小（8MB）。

net.core.rmem_max = 16777216
# 设置网络套接字接收缓冲区的最大大小（16MB）。

net.core.wmem_max = 16777216
# 设置网络套接字发送缓冲区的最大大小（16MB）。

net.ipv4.tcp_synack_retries = 1
# 设置TCP连接的SYN-ACK重试次数，减少连接建立时间。

net.ipv4.tcp_syn_retries = 1
# 设置TCP连接的SYN重试次数，减少连接建立时间。

修改配置使得当前的Linux系统可以作为路由器，转发经过的IPv4数据包

echo "1" >/proc/sys/net/ipv4/ip_forward
将IPv4数据包转发功能启用。设置为 1 表示允许数据包转发；如果设置为 0，则禁止数据包转发。

/proc/sys/net/ipv4/ip_forward
一个用于控制Linux内核参数的虚拟文件，专门用于配置IPv4数据包转发功能。

修改iptables配置

vim /etc/sysconfig/iptables

新增
*nat
:PREROUTING ACCEPT [1933951542:108342552632]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [2340407104:140430495260]
-A POSTROUTING -o ens33 -j MASQUERADE
COMMIT

注释掉
# 这条规则的作用是拒绝所有经过本机的转发流量
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited

# 确保 ens33 是系统中存在的网络接口。使用 ip a 命令确认接口名称，改为自己的

重启 iptables
systemctl restart iptables

当前能出网的服务器IP，以上配置都是在这台配置

需要出网的内网服务器IP

大功告成！ 完结撒花