业务场景
环境:两台 Linux 服务器(A、B)
-
A 机器:双网卡
enp24s0f0:10.20.40.221/24(与 B 同网段)enp24s0f2:192.168.133.46/24(可访问目标服务172.16.25.73)
-
B 机器:单网卡
ens160:10.20.40.22/24(与 A 的10.20.40.221同网段)
需求 :让 B 机器通过 A 机器转发,访问到 172.16.25.73 服务
网络拓扑
graph LR
A[机器A
enp24s0f0: 10.20.40.221/24
enp24s0f2: 192.168.133.46/24] --> |转发| Target[目标服务
172.16.25.73] B[机器B
10.20.40.22/24] --> |访问| A
enp24s0f0: 10.20.40.221/24
enp24s0f2: 192.168.133.46/24] --> |转发| Target[目标服务
172.16.25.73] B[机器B
10.20.40.22/24] --> |访问| A
解决方案
一、在 A 机器执行
1. 开启 IP 转发
bash
# 临时生效
echo 1 > /proc/sys/net/ipv4/ip_forward
# 永久生效
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p2. 配置 iptables 转发规则
bash
# 1. 允许 B 网段(10.20.40.0/23)访问 172.16.25.0/24(插入到第1行,最高优先级)
iptables -I FORWARD 1 -i enp24s0f0 -o enp24s0f2 -d 172.16.25.0/24 -j ACCEPT
# 2. 允许 172.16.25.0/24 回包到 B 网段(插入到第2行)
iptables -I FORWARD 2 -i enp24s0f2 -o enp24s0f0 -s 172.16.25.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
# 3. 配置 SNAT,确保回程流量能正确返回
iptables -t nat -A POSTROUTING -o enp24s0f2 -d 172.16.25.0/24 -j MASQUERADE3. 验证配置
bash
# 检查转发规则
iptables -L FORWARD -n -v --line-numbers | head -n 3
# 检查 NAT 规则
iptables -t nat -L POSTROUTING -n -v
# 检查 IP 转发状态
cat /proc/sys/net/ipv4/ip_forward # 应返回 14. 规则持久化(可选)
bash
# 方法一:使用 iptables-persistent(Ubuntu/Debian)
apt install iptables-persistent -y
netfilter-persistent save
netfilter-persistent reload
# 方法二:使用 iptables-save 保存到文件
iptables-save > /etc/iptables/rules.v4
# 方法三:使用 service(CentOS/RHEL 6)
service iptables save
# 方法四:写入启动脚本(CentOS/RHEL 7+)
# 创建规则文件
cat > /etc/sysconfig/iptables << 'EOF'
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o enp24s0f2 -d 172.16.25.0/24 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i enp24s0f0 -o enp24s0f2 -d 172.16.25.0/24 -j ACCEPT
-A FORWARD -i enp24s0f2 -o enp24s0f0 -s 172.16.25.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
EOF
# 重启 iptables 服务
systemctl restart iptables二、在 B 机器执行
1. 添加静态路由
bash
# 添加指向 A 机器的网关路由,使目标流量经过 A 转发
ip route add 172.16.25.0/24 via 10.20.40.221 dev ens1602. 验证路由
bash
# 查看路由表
ip route show
# 测试连通性
ping -c 3 172.16.25.73
# 测试业务端口(示例:8080)
telnet 172.16.25.73 80803. 路由持久化(可选)
bash
# 方法一:写入 /etc/network/interfaces(Debian/Ubuntu)
# 在对应的网卡配置中添加
up ip route add 172.16.25.0/24 via 10.20.40.221 dev ens160
down ip route del 172.16.25.0/24 via 10.20.40.221 dev ens160
# 方法二:写入 NetworkManager 路由(CentOS/RHEL)
nmcli con mod ens160 +ipv4.routes "172.16.25.0/24 10.20.40.221"
nmcli con up ens160
# 方法三:写入 /etc/sysconfig/network-scripts/route-ens160(CentOS)
echo "172.16.25.0/24 via 10.20.40.221 dev ens160" >> /etc/sysconfig/network-scripts/route-ens160
systemctl restart network注意事项
- 确保 A 机器的防火墙(iptables/firewalld)允许转发流量
- 如果使用云服务器,需在安全组中放行相应端口和流量
- 生产环境建议将配置写入网络配置文件,确保重启后生效
- 建议使用
iptables-save或iptables-persistent保存规则,避免重启丢失