热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Linux设置GRE隧道

通用路由封装(GRE)是由思科系统开发的隧道协议,可以在虚拟点对点链路或互联网协议网络上的点对多点链路中

介绍

通用路由封装(GRE)是由思科系统开发的隧道协议,可以在虚拟点对点链路或互联网协议网络上的点对多点链路中封装各种网络层协议。


GRE隧道在某些情况下很有用,例如使用另一个具有保护的服务器来保护没有DDoS保护的服务器,或者启用仅允许IPv4的应用程序也接受IPv6。

先决条件

首先,您必须有两台具有根访问权限的服务器。在本教程中,它们将被称为服务器A和服务器B,并将具有以下特征:


  • 服务器A - 所有客户端都将连接到的服务器

  • IP:198.51.100.1

  • GRE隧道内部IP:10.0.0.1

  • 服务器B - 实际运行所有应用程序的服务器

  • IP:203.1.113.1

  • GRE隧道内部IP:10.0.0.2


第1步-模块加载

要在Linux上设置GRE隧道,您必须在内核中加载ip_gre模块。要确保它已加载,只需执行以下操作:

    sudo modprobe ip_gre
    lsmod | grep gre

    你应该看看:

      ip_gre                 #####  0
      gre                    #####  1 ip_gre

      如果您看到其他内容,您的内核可能不支持GRE。


      为了转发进出GRE隧道的所有流量,我们将使用iptables和iproute2,它们应该已经安装在所有主要的linux发行版中。如果它们没有安装,请使用以下命令


      对于基于Debian的发行版:

        sudo apt install iptables iproute2

        对于基于红帽的发行版:

          sudo yum install iptables iproute2

          第2步-隧道设置

          首先,我们必须建立我们的隧道。


          在服务器A上执行此代码以启用ip转发:

            sudo echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
            sudo sysctl -p

            现在创建一个新的网络界面,该界面将使用GRE隧道:

              sudo ip tunnel add gre1 mode gre local 198.51.100.1 remote 203.0.113.1 ttl 255
              sudo ip addr add 10.0.0.1/30 dev gre1
              sudo ip link set gre1 up

              然后,在服务器B上更改IP时也这样做:

                sudo ip tunnel add gre1 mode gre local 203.0.113.1 remote 198.51.100.1 ttl 255
                sudo ip addr add 10.0.0.2/30 dev gre1
                sudo ip link set gre1 up

                第2.1步-Ping测试

                在服务器A上做:

                  ping 10.0.0.2

                  在服务器B上做:

                    ping 10.0.0.1

                    如果ping工作正常,那么GRE隧道设置正确。

                    第3步-新路线实施

                    需要一条路线来确保通过GRE隧道输入的数据得到正确处理。


                    在服务器B上执行:

                      sudo echo '100 GRE' >> /etc/iproute2/rt_tables
                      sudo ip rule add from 10.0.0.0/30 table GRE
                      sudo ip route add default via 10.0.0.1 table GRE

                      第4步-NAT配置

                      NAT用于将数据传递到我们的GRE和另一端。


                      在服务器A上运行:

                        iptables -t nat -A POSTROUTING -s 10.0.0.0/30 ! -o gre+ -j SNAT --to-source 198.51.100.1

                        要测试在服务器B上执行的出站连接,请执行以下命令:


                        对于基于Debian的发行版:

                          sudo apt install curl

                          对于基于红帽的发行版:

                            sudo yum install curl

                            然后:

                              curl http://www.cpanel.net/showip.cgi --interface 10.0.0.2

                              最后,您应该会看到服务器 A 的 IP。


                              第5步-端口转发

                              在服务器A上运行此命令,以允许进出服务器B的所有数据:

                                sudo iptables -A FORWARD -d 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
                                sudo iptables -A FORWARD -s 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

                                然后,我们希望将所有数据从服务器A转发到服务器B。


                                在服务器A上执行:

                                  sudo iptables -t nat -A PREROUTING -d 198.51.100.1 -p PROTO -m PROTO --dport PORT -j DNAT --to-destination 10.0.0.2

                                  用实际的PROTO和PORT替换。


                                  例如,要将所有数据转发到Web服务器(端口TCP 80),我们必须运行:

                                    sudo iptables -t nat -A PREROUTING -d 198.51.100.1 -p TCP -m TCP --dport 80 -j DNAT --to-destination 10.0.0.2

                                    我们必须为我们使用的每个端口这样做。

                                    第6步-持久性

                                    在服务器上重新启动,我们所做的所有事情都将被消灭。为了确保GRE隧道和其他所有内容在重新启动后都能正常工作,我们必须编辑文件/etc/rc.local,并添加我们所做的所有命令(回声命令除外!)在exit 0之前。

                                    结论

                                    现在,如果我们使用我们配置的端口(例如端口TCP 80)连接到服务器A,我们将在不知不觉中连接到服务器B。


                                    注意:如果您使用CSF管理iptables,您可能必须将所有iptables命令放在您的/etc/csf/csfpost.sh中,并将两台服务器的IP(也是GRE命令)插入/etc/csf/csf.allow中。

                                    国庆节快乐


                                    26

                                    27

                                    28

                                    29

                                    30

                                    1

                                    2

                                    3

                                    4

                                    5

                                    6

                                    7

                                    8

                                    9


                                    关注微信公众号:SFS运维工具箱每天定时更新各类教程文章与线报福利!



                                    推荐阅读
                                    author-avatar
                                    小市民828_719
                                    这个家伙很懒,什么也没留下!
                                    PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
                                    Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有