通过iptables配置Dnat是一个比较常见的操作,阿里云的服务在classic网络下无法支持snat,但是dnat实际是没问题的,这里罗列一下操作过程:
实验环境两台阿里云ECS服务器 ,一台公网,一台内网。内网安装nginx,希望访问公网服务器的时候,能够访问到内网的nginx站点。
内网服务器操作过程如下:
首先安装nginx和启动
5 |
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME |
6 |
nginx 1742 root 6u IPv4 5570 0t0 TCP *:http (LISTEN) |
测试nginx安装正常,可以访问。
4 |
Date: Wed, 14 Jan 2015 07:29:05 GMT |
5 |
Content-Type: text/html |
7 |
Last-Modified: Tue, 11 Nov 2014 16:30:06 GMT |
公网服务器操作如下:
首先修改内核参数,开启ip转发
4 |
net.ipv4.ip_forward = 1 |
配置iptables,将访问公网服务器80端口的请求,转发到内网服务器的80
这时候我们访问公网服务器IP测试一下,同时抓包看转发后的数据包情况:
1 |
15:35:46.602240 IP 42.120.74.108.8864 > 115.29.96.246.80: S 765781831:765781831(0) win 8192 |
2 |
15:35:46.602272 IP 42.120.74.108.8864 > 10.144.26.11.80: S 765781831:765781831(0) win 8192 |
这样原地址是访客的公网IP,目标是内网服务器的内网地址,这样也没办法双向通讯啊,所以,需要让这个数据包的原地址,也变成内网地址,这样才能和内网服务器建立通讯。
修改原地址就是SNAT
我们继续在公网服务器配置:
抓包分析:
1 |
15:38:14.846955 IP 42.120.74.108.10839 > 115.29.96.246.80: P 433:858(425) ack 159 win 16385 |
2 |
15:38:14.846985 IP 10.163.209.59.10839 > 10.144.26.11.80: P 433:858(425) ack 159 win 16385 |
3 |
15:38:14.847759 IP 10.144.26.11.80 > 10.163.209.59.10839: P 159:317(158) ack 858 win 317 |
4 |
15:38:14.847772 IP 115.29.96.246.80 > 42.120.74.108.10839: P 159:317(158) ack 858 win 317 |
访客本地公网->公网服务器公网IP
修改目标地址
公网服务器内网IP->内网服务器IP
修改原地址
内网服务器IP->公网服务器内网IP
公网服务器公网IP->访客本地公网
完成通讯,试试看。
