【博客561】利用隧道和conntrack实现NAT网关

news2024/12/27 20:02:07

利用隧道和conntrack实现NAT网关

场景:实现一个NAT网关来转发其它node的出外网流量

如:图中的2节点充当NAT网关来转发1的出外网流量
在这里插入图片描述

利用隧道和conntrack实现NAT网关

节点ip:

node1是172.17.158.48,node2是172.17.158.46

1、配置1节点的隧道:

ip tun add tun0 mode gre remote 172.17.158.46 local 172.17.158.48 ttl 64 
ip link set tun0 up
ip addr add 100.64.0.1 peer 100.64.0.2 dev tun0

2、在1节点添加路由项,使得本地去往第三方站点的流量,都走这条路由,也就是通过隧道到达虚拟机 2,然后 2 来转发报文:

ip route add 110.242.68.0/24 via 100.64.0.2 dev tun0

3、虚拟机 2 上面也需要做对等的隧道配置:

ip tun add tun0 mode gre remote 172.17.158.48 local 172.17.158.46 ttl 64 
ip link set tun0 up 
ip addr add 100.64.0.2 peer 100.64.0.1 dev tun0

4、虚拟机 1 把报文发到虚拟机 2,但是如果后者不做配置,默认是会丢弃这些报文的,所以
还需要在 2 上开启 ip_forward:

sysctl net.ipv4.ip_forward=1

5、在 2 上启用 SNAT

iptables -t nat -A POSTROUTING -d 110.242.68.0/24 -j MASQUERADE

要不然出去的报文源 IP 是 100.64.0.1,回包也会回这
个地址,显然回不到 2 了在这里插入图片描述

6、验证:在1上发起百度的请求,能够正常被转发
在这里插入图片描述

原理:

  • 通过隧道和默认路由,在1节点上将其访问百度的包送到了2节点

  • 2节点收到隧道包后进行拆解,然后根据目的地址百度发起请求,且通过conntrack进行snat,将出去的src ip由原来的1节点隧道设备的ip改为自己出外网网卡的ip,收到回复后再进行conntrack reverse,将dst ip由自己出外网网卡的ip改为1节点隧道设备的ip,此时再通过隧道回到1节点

  • 1节点通过隧道收到了百度的回包

在这个过程中,我们使用了MASQUERADE进行snat,MASQUERADE会自动会回包进行reverse,不需要你再下发dnat规则来恢复了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/98122.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Clipper库 | 类型和填充规则

裁剪类型(ClipType) CT_INTERSECTION 0 CT_UNION 1 CT_DIFFERENCE 2 CT_XOR 3交集,AND (intersection) :主体和裁剪多边形相交的区域。并集,OR (union) - 主体和裁剪多边形两者合并的区域。非/差,NOT (difference) - 裁剪多边…

net/http 库的客户端实现(上)

前言 Go语言标准库 net/http 是一个非常强大的标准库,使得构建 HTTP 请求和编写 Web 服务器的工作变得非常简单。 我们来看看是他是如何实现客户端和服务端的。 使用示例 假设本地有一个GET方法的HTTP接口,响应 Hello World! 使用 net/ht…

Cesium:实时数据渲染性能优化与内存泄漏问题分析

在基于Cesium.js三维可视化开发框架,采用“轮询”策略,实现单车点位数据的实时渲染的demo示例,线上部署完毕之后,竟发现出现了“内存泄漏”的问题。思前想后,反复调试,然而并没有找到引发泄露的根源所在,最后偶然间在《JavaScript高级程序设计(第4版)》中看到了问题的答…

HashTable源码解析

HashTable源码解析 简介 HashTable 是一个古老的(JDK1.0 时就已存在)线程安全的容器,其核心方法都是 synchronized 修饰的。 相反 HashMap 不是线程安全的。 HashTable与HashMap对比 二者继承体系 HashTable HashMap 从图中可以对比得出…

零基础的小白如何学习编程,该怎么入手学习?

零基础的小白如何学习编程,该怎么入手学习?这是一个被问烂透而有很有趣的话题了。听到这个问题时,小编的第一反应就是要弄清楚对方为什么要学习编程,这是一个很好地起点,清楚自己想要什么,才能去努力实现。…

【JY】 ABAQUS子程序UEL的有限元原理与应用

不等待即关注【简述ABAQUS中UEL子程序】ABAQUS作为成熟的商用有限元软件,可为高级用户提供特定的分析需求。ABAQUS常见的二次开发子程序包括:UMAT、VUMAT、UGENS、UEL和VUEL等。其中UEL/VUEL分别适用于ABAQUS的Standard/Explicit求解器。只有清楚有限元分…

零基础怎么学Python编程,新手常犯哪些错误?

Python是人工智能时代最佳的编程语言,入门简单、功能强大,深获初学者的喜爱。 很多零基础学习Python开发的人都会忽视一些小细节,进而导致整个程序出现错误。下面就给大家介绍一下Python开发者常犯的几个错误。 1、错误的使用变量。 在Pyt…

华为网工入门之eNSP小实验(5)--VLAN间相互通信的三种方法

VLAN间相互通信 实际网络部署中一般会将不同IP地址段划分到不同的VLAN。同VLAN且同网段的PC之间可直接进行通信,无需借助三层转发设备,该通信方式被称为二层通信。VLAN之间需要通过三层通信实现互访,三层通信需借助三层设备(路由器,三层交换…

高可用系列文章之二 - 传统分层架构技术方案

前文链接 高可用系列文章之一 - 概述 - 东风微鸣技术博客 (ewhisper.cn) 三 技术方案 3.1 概述 单点是系统高可用最大的风险和敌人,应该尽量在系统设计的过程中避免单点。 保障系统的高可用, 方法论上,高可用保证的原则是「集群化」(或 「冗余」), …

LeetCode HOT 100 —— 312.戳气球

题目 有 n 个气球,编号为0 到 n - 1,每个气球上都标有一个数字,这些数字存在数组 nums 中。 现在要求你戳破所有的气球。戳破第 i 个气球,你可以获得 nums[i - 1] * nums[i] * nums[i 1] 枚硬币。 这里的 i - 1 和 i 1 代表和 i…

别只关注chatGPT能不能写论文了,它还支持49中场景,代码都给你写好了,速领

简介 chatGPT最近非常不稳定,访问一不小心就出现了网络错误,根本就不能很好的使用。那么我们该怎么办呢?勇哥给大家想到了一个种办法,就是用程序去调用openapi的接口,这个接口虽然是收费的,但是可免费使用…

linux下源码编译cloudcompare(解决无法加载pcd文件的问题)

cloudcompare是一款点云处理软件,里面有很多算法,值得大家学习研究。 下面介绍linux下源码编译cloudcompare的方法。 1.安装依赖: sudo apt-get install doxygen sudo apt install cmake-curses-gui2.下载: git clone --recurs…

Qt之天气预报——界面优化篇(含源码+注释)

一、界面优化效果 下方为界面优化完成和优化前的效果对比。 优化前: 优化后: 二、优化内容 添加标题栏添加图片(图图标素材源自阿里巴巴矢量图标库)更新UI内容(微调大小、布局比例)添加鼠标事件函数&…

Java 教程

Java 教程 Java 是由 Sun Microsystems 公司于 1995 年 5 月推出的高级程序设计语言。 Java 可运行于多个平台,如 Windows, Mac OS 及其他多种 UNIX 版本的系统。 本教程通过简单的实例将让大家更好的了解 Java 编程语言。 移动操作系统 Android 大部分的代码采用…

RepVGG:一个结构重参数化网络

本文来自公众号“AI大道理” ResNet、DenseNet 等复杂的多分支网络可以增强模型的表征能力,使得训练效果更好。但是多分支的结构在推理的时候效率严重不足。 看起来二则不可兼得。 能否两全其美? RepVGG通过结构重参数化的方法,在训练的时候…

2022 年 Kubernetes 高危漏洞盘点

2022 年,Kubernetes继续巩固自己作为关键基础设施领域的地位。从小型到大型组织,它已成为广受欢迎的选择。出于显而易见的原因,这种转变使 Kubernetes 更容易受到攻击。但这还没有结束,开发人员通常将Kubernetes 部署与其他云原生…

【2022.12.18】备战春招Day13——每日一题 + 234. 回文链表 + 139. 单词拆分

【每日一题】1703. 得到连续 K 个 1 的最少相邻交换次数 题目描述 给你一个整数数组 nums 和一个整数 k 。 nums 仅包含 0 和 1 。每一次移动,你可以选择 相邻 两个数字并将它们交换。 请你返回使 nums 中包含 k 个 连续 1 的 最少 交换次数 输入:nums …

【数据结构】堆(二)——堆排序、TOP-K问题

作者:一个喜欢猫咪的的程序员 专栏:《数据结构》 喜欢的话:世间因为少年的挺身而出,而更加瑰丽。 ——《人民日报》 目录 堆排序:(以小堆为例) Heapsort函数…

C语言重点解剖关键字要点速记

1.在windows中,双击的本质是运行该程序,就是将程序(.exe)加载到内存当中去。任何程序在被运行之前都必须加载到内存当中去。 2.所有的变量本质都是在内存的某个位置开辟的。变量不能定义在硬盘上,因为变量必须在程序运行的时候才能被开辟&am…

SPRING-了解1

1)最终address: 查找路径比较长,很有趣 JFrog 原始步骤1)进入 spring.io,点击右上角黑色标记边的标记 2)进入 git,找到 Binaries下面的 Spring Framework Artifacts 3)进一步找到Downlaoding a Distribution,下面有 https://repo.spring.io 4)x选择…