Linux设置GRE隧道

通用路由封装（GRE）是由思科系统开发的隧道协议，可以在虚拟点对点链路或互联网协议网络上的点对多点链路中封装各种网络层协议。

GRE隧道在某些情况下很有用，例如使用另一个具有保护的服务器来保护没有DDoS保护的服务器，或者启用仅允许IPv4的应用程序也接受IPv6。

首先，您必须有两台具有根访问权限的服务器。在本教程中，它们将被称为服务器A和服务器B，并将具有以下特征：

• 服务器A - 所有客户端都将连接到的服务器

• IP：198.51.100.1

• GRE隧道内部IP：10.0.0.1

• 服务器B - 实际运行所有应用程序的服务器

• IP：203.1.113.1

• GRE隧道内部IP：10.0.0.2

  
  

要在Linux上设置GRE隧道，您必须在内核中加载ip_gre模块。要确保它已加载，只需执行以下操作：

sudo modprobe ip_gre
lsmod | grep gre

你应该看看：

ip_gre                 #####  0
gre                    #####  1 ip_gre

如果您看到其他内容，您的内核可能不支持GRE。

为了转发进出GRE隧道的所有流量，我们将使用iptables和iproute2，它们应该已经安装在所有主要的linux发行版中。如果它们没有安装，请使用以下命令

对于基于Debian的发行版：

sudo apt install iptables iproute2

对于基于红帽的发行版：

sudo yum install iptables iproute2

首先，我们必须建立我们的隧道。

在服务器A上执行此代码以启用ip转发：

sudo echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sudo sysctl -p

现在创建一个新的网络界面，该界面将使用GRE隧道：

sudo ip tunnel add gre1 mode gre local 198.51.100.1 remote 203.0.113.1 ttl 255
sudo ip addr add 10.0.0.1/30 dev gre1
sudo ip link set gre1 up

然后，在服务器B上更改IP时也这样做：

sudo ip tunnel add gre1 mode gre local 203.0.113.1 remote 198.51.100.1 ttl 255
sudo ip addr add 10.0.0.2/30 dev gre1
sudo ip link set gre1 up

在服务器A上做：

ping 10.0.0.2

在服务器B上做：

ping 10.0.0.1

如果ping工作正常，那么GRE隧道设置正确。

需要一条路线来确保通过GRE隧道输入的数据得到正确处理。

在服务器B上执行：

sudo echo '100 GRE' >> /etc/iproute2/rt_tables
sudo ip rule add from 10.0.0.0/30 table GRE
sudo ip route add default via 10.0.0.1 table GRE

NAT用于将数据传递到我们的GRE和另一端。

在服务器A上运行：

iptables -t nat -A POSTROUTING -s 10.0.0.0/30 ! -o gre+ -j SNAT --to-source 198.51.100.1

要测试在服务器B上执行的出站连接，请执行以下命令：

对于基于Debian的发行版：

sudo apt install curl

对于基于红帽的发行版：

sudo yum install curl

然后：

curl http://www.cpanel.net/showip.cgi --interface 10.0.0.2

最后，您应该会看到服务器 A 的 IP。

在服务器A上运行此命令，以允许进出服务器B的所有数据：

sudo iptables -A FORWARD -d 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -s 10.0.0.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

然后，我们希望将所有数据从服务器A转发到服务器B。

在服务器A上执行：

sudo iptables -t nat -A PREROUTING -d 198.51.100.1 -p PROTO -m PROTO --dport PORT -j DNAT --to-destination 10.0.0.2

用实际的PROTO和PORT替换。

例如，要将所有数据转发到Web服务器（端口TCP 80），我们必须运行：

sudo iptables -t nat -A PREROUTING -d 198.51.100.1 -p TCP -m TCP --dport 80 -j DNAT --to-destination 10.0.0.2

我们必须为我们使用的每个端口这样做。

在服务器上重新启动，我们所做的所有事情都将被消灭。为了确保GRE隧道和其他所有内容在重新启动后都能正常工作，我们必须编辑文件/etc/rc.local，并添加我们所做的所有命令（回声命令除外！）在exit 0之前。

现在，如果我们使用我们配置的端口（例如端口TCP 80）连接到服务器A，我们将在不知不觉中连接到服务器B。

注意：如果您使用CSF管理iptables，您可能必须将所有iptables命令放在您的/etc/csf/csfpost.sh中，并将两台服务器的IP（也是GRE命令）插入/etc/csf/csf.allow中。

关注微信公众号：SFS运维工具箱每天定时更新各类教程文章与线报福利！