两台Linux主机,通过GRE隧道并且PAT访问对方网络

简介:

一.概述:
在实际工作中可能会出现,在两个不同区域的两台linux能够相互通讯,同时希望中间防火墙放行尽量少的策略,能通过对方linux主机作为跳板访问对方linux能够访问的资源,用vmware和GNS3搭建环境测试了一下,通过GRE隧道和PAT可以实现,现记录下来。(这种方式有背于安全域的思想,在实际工作中除非不得已还是建议少用)
二.基本思路:
A.为了体现效果,只是添加主机路由
----linux1和linux2通过添加对方的主机路由,建立GRE隧道
----linux1访问R2也只是添加主机路由,让其走GRE隧道
B.在linux2上需要配置PAT,将源地址为linux1的tunnel接口地址的做源地址隐藏,否则对方没有linux1的tunnel接口地址的回程路由

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.1/32 -j MASQUERADE

C.如果linux1同网段其他主机需要通过使用这条GRE,需要三个条件:
①linux1开启了路由转发
②linux1侧主机配置了到linux2侧网络的路由,指向linux1(否则流量不会都linux1与linux2直接建立好的GRE隧道)
③linux2上需要配置PAT,将源地址为linux1侧的主机或网络地址做源地址隐藏

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j MASQUERADE

D.通过上述配置完成后,只需linux1和linux2之间放行GRE流量的一条策略,内网的其他访基于TCP/UDP的点到点的访问都畅通无阻

---防火墙放通的不是TCP,也不是UDP,而是GRE,像checkpoint防火墙的service就内置有GRE

---如果只是放通linux1到linux2的GRE流量测量,实际测试,需要linux1先ping linux2的tunnel地址,linux2再ping linux1的tunnel地址,隧道才能建立

E.GRE隧道建立后,用Redhat 6.5测试,过两个小时没有自动断开

三.测试拓扑:

105927414.jpg

四.配置步骤:
A.配置GRE:

----参见之前的博文:http://333234.blog.51cto.com/323234/931805
①添加主机路由:
[root@linux1 ~]# route add –host 192.168.20.1 gw 192.168.10.10
[root@linux2 ~]# route add –host 192.168.10.1 gw 192.168.20.10
②确定是否加载了GRE模块
[root@Linux1 ~]# lsmod |grep ip_gre
[root@Linux2 ~]# lsmod |grep ip_gre
----命令运行没有返回结果,说明没有加载
③加载GRE模块:
[root@linux1 ~]# uname -an
Linux linux1 2.6.9-78.EL #1 Wed Jul 9 15:27:01 EDT 2008 i686 i686 i386 GNU/Linux
[root@linux1 ~]# insmod /lib/modules/2.6.9-78.EL/kernel/net/ipv4/ip_gre.ko
[root@linux2 ~]# uname -an
Linux linux2 2.6.18-164.el5 #1 SMP Thu Sep 3 03:33:56 EDT 2009 i686 i686 i386 GNU/Linux
[root@linux2 ~]# insmod /lib/modules/2.6.18-164.el5/kernel/net/ipv4/ip_gre.ko
----根据内核版本,选择正确的模块
④配置GRE tunnel接口:
[root@linux1 ~]# ip tunnel add tunnel0 mode gre remote 192.168.20.1 local 192.168.10.1 ttl 255
[root@linux1 ~]# ip link set tunnel0 up mtu 1400
[root@linux1 ~]# ip addr add 172.16.1.1/30 dev tunnel0
[root@linux1 ~]# ip addr add 172.16.1.1/30 peer 172.16.1.2/30 dev tunnel0
[root@linux1 ~]# ip route add 192.168.20.2/32 dev tunnel0
----添加到需要访问的主机路由,根据实际需要,也可以添加网段
[root@linux2 ~]# ip tunnel add tunnel0 mode gre remote 192.168.10.1 local 192.168.20.1 ttl 255
[root@linux2 ~]# ip link set tunnel0 up mtu 1400
[root@linux2 ~]# ip addr add 172.16.1.2/30 dev tunnel0
[root@linux2 ~]# ip addr add 172.16.1.2/30 peer 172.16.1.1/30 dev tunnel0
⑤配置tunnel接口开机启动:
linux1:
vi /etc/init.d/gre.sh ##内容如下:
insmod /lib/modules/2.6.9-78.EL/kernel/net/ipv4/ip_gre.ko
ip tunnel add tunnel0 mode gre remote 192.168.20.1 local 192.168.10.1 ttl 255
ip link set tunnel0 up mtu 1400
ip addr add 172.16.1.1/30 dev tunnel0
ip addr del 172.16.1.1/30 peer 172.16.1.2/30 dev tunnel0
ip addr add 172.16.1.1/30 peer 172.16.1.2/30 dev tunnel0
ip route add 192.168.20.2/32 dev tunnel0

chmod +x /etc/init.d/gre.sh
echo "/etc/init.d/gre.sh" >> /etc/rc.d/rc.local

linux2:
vi /etc/init.d/gre.sh ##内容如下:
insmod /lib/modules/2.6.18-164.el5/kernel/net/ipv4/ip_gre.ko
ip tunnel add tunnel0 mode gre remote 192.168.10.1 local 192.168.20.1 ttl 255
ip link set tunnel0 up mtu 1400
ip addr add 172.16.1.2/30 dev tunnel0
ip addr del 172.16.1.2/30 peer 172.16.1.1/30 dev tunnel0
ip addr add 172.16.1.2/30 peer 172.16.1.1/30 dev tunnel0

chmod +x /etc/init.d/gre.sh
echo "/etc/init.d/gre.sh" >> /etc/rc.d/rc.local

B.Linux2配置PAT:
[root@linux2 ~]# iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.1/32 -j MASQUERADE
----为了防止重启丢失,可以将上面写入到开机启动脚本中
C.Linux2开启路由转发:
[root@linux2 ~]#echo 1 > /proc/sys/net/ipv4/ip_forward
五.效果测试:
[root@linux1 ~]# telnet 192.168.20.2
Trying 192.168.20.20...
Connected to 192.168.20.2 (192.168.20.2).
Escape character is '^]'.
User Access Verification
Password: 
R2>show users
Line User Host(s) Idle Location
0 con 0 idle 00:00:45 
* 66 vty 0 idle 00:00:00 192.168.20.1
Interface User Mode Idle Peer Address
R2>




本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1298882,如需转载请自行联系原作者

相关文章
|
20天前
|
域名解析 网络协议 安全
在Linux中,想在命令行下访问某个网站,并且该网站域名还没有解析,如何做?
在Linux中,想在命令行下访问某个网站,并且该网站域名还没有解析,如何做?
|
14天前
|
消息中间件 存储 Serverless
函数计算产品使用问题之怎么访问网络附加存储(NAS)存储模型文件
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
19天前
|
JavaScript Linux 应用服务中间件
【Azure 应用服务】FTP 部署 Vue 生成的静态文件至 Linux App Service 后,访问App Service URL依旧显示Azure默认页面问题
【Azure 应用服务】FTP 部署 Vue 生成的静态文件至 Linux App Service 后,访问App Service URL依旧显示Azure默认页面问题
|
14天前
|
JSON 安全 网络协议
【Azure Policy】添加策略用于审计Azure 网络安全组(NSG)规则 -- 只能特定的IP地址允许3389/22端口访问
为了确保Azure虚拟机资源的安全管理,只有指定IP地址才能通过RDP/SSH远程访问。解决方案包括使用Azure Policy服务扫描所有网络安全组(NSG),检查入站规则中的3389和22端口,并验证源地址是否在允许的IP列表中。不符合条件的NSG规则将被标记为非合规。通过编写特定的Policy Rule并定义允许的IP地址参数,实现集中管控和合规性检查。
|
18天前
|
缓存 负载均衡 NoSQL
【Azure Redis】Azure Redis添加了内部虚拟网络后,其他区域的主机通过虚拟网络对等互连访问失败
【Azure Redis】Azure Redis添加了内部虚拟网络后,其他区域的主机通过虚拟网络对等互连访问失败
|
18天前
|
安全 网络安全
【Azure 环境】当本地网络通过ER专线与Azure云上多个虚拟网络打通,如何通过特定的网络策略来限制本地部分网段访问云上虚拟机22端口?
【Azure 环境】当本地网络通过ER专线与Azure云上多个虚拟网络打通,如何通过特定的网络策略来限制本地部分网段访问云上虚拟机22端口?
|
19天前
|
存储 Linux 网络安全
【Azure 存储服务】如何把开启NFS 3.0协议的Azure Blob挂载在Linux VM中呢?(NFS: Network File System 网络文件系统)
【Azure 存储服务】如何把开启NFS 3.0协议的Azure Blob挂载在Linux VM中呢?(NFS: Network File System 网络文件系统)
|
19天前
|
存储 Linux 网络安全
【Azure 应用服务】App Service For Linux 如何在 Web 应用实例上住抓取网络日志
【Azure 应用服务】App Service For Linux 如何在 Web 应用实例上住抓取网络日志
|
19天前
|
网络协议 Linux Shell
【Azure 应用服务】App Service For Linux 中安装paping, 用于验证从App Service向外请求的网络连通性
【Azure 应用服务】App Service For Linux 中安装paping, 用于验证从App Service向外请求的网络连通性
|
19天前
|
JavaScript Linux 容器
【Azure 应用服务】NodeJS项目部署在App Service For Linux环境中,部署完成后应用无法访问
【Azure 应用服务】NodeJS项目部署在App Service For Linux环境中,部署完成后应用无法访问