怎么配置无公网IP地址的云主机访问Internet？

1、怎么配置无公网IP地址的云主机访问Internet？抛开云主机环境来说，通常一个办公网络内所有的主机都没有公网IP地址，但他们都能通过具有IP地址的路由器（网关）设备访问Internet，此设备只需要具备NAT和转发功能即可。具有这样功能的设备当然可以用某台计算机代替。下面是一个最简单的模型：主机A（服务端）：网卡1：内网IP地址1网卡2：公网IP地址3或者能访问Internet的某个IP地址3主机B（客户端）：网卡1：内网IP地址2主机B想通过主机A访问Internet，只需要主机B指定主机A为网关，主机A能够将来自主机B的包伪装成主机A上的网卡2上的IP即可（sNAT）。因此云主机环境也是

2、一样，只要保证两个云主机间内网是连通的，另一台云主机能访问Internet即可。如果某两个云主机内网不通，但可以通过vpn连通，也可以实现。（一）下面是两个主机间通过内网IP直接连接模拟访问Internet的例子。主机A（服务端）：网卡1:28（eth0，无Internet访问）网卡2:2（eth1，Internet访问）主机B（客户端）：网卡1:29（eth0，无Internet访问）主机A操作：开启iptables转发功能：123sysctl-wnet.ipv4.conf.default.accept_source_route=1s

3、ysctl-wnet.ipv4.conf.default.rp_filter=0sysctl-wnet.ipv4.ip_forward=1配置iptables NAT规则：12modprobeiptable_natiptables-tnat-APOSTROUTING-s/24-oeth1-jMASQUERADE删除iptables拒绝转发规则：1iptables-DFORWARD-jREJECT-reject-withicmp-host-prohibited主机B操作：将默认网关配置成主机A的网卡1地址：12routeadd-host28/32deveth0

4、routeadddefaultgw28deveth0（二）下面是两个主机间通过OpenVPN连接模拟访问Internet的例子。主机A（服务端，CentOS6.x）：网卡1:28（eth0，无Internet访问）网卡2:2（eth1，Internet访问）主机B（客户端，CentOS6.x）：网卡1:29（eth0，无Internet访问）主机A操作：安装OpenVPN（安装OpenVPN也可以参考CentOS6.7安装OpenVPN服务端）：1234567891011121314151617181920212223

5、2425262728yum-yinstall/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmyum-yinstallopensslopenvpncd/etc/openvpngitclone/OpenVPN/easy-rsa.gitcd/etc/openvpn/easy-rsa/gitcheckout-bv2.2.1cp-reasy-rsa/2.0/etc/openvpn/easy-rsa/cd/etc/openvpn/easy-rsa/2.0/vimimvarsex

6、portEASY_RSA=pwdexportOPENSSL=opensslexportPKCS11TOOL=pkcs11-toolexportGREP=grepexportKEY_CONFIG=$EASY_RSA/whichopensslcnf$EASY_RSAexportKEY_DIR=$EASY_RSA/keysechoNOTE:Ifyourun./clean-all,Iwillbedoingarm-rfon$KEY_DIRexportPKCS11_MODULE_PATH=dummyexportPKCS11_PIN=dummyexportKEY_SIZE=2048exportCA_EXPI

7、RE=3650exportKEY_EXPIRE=3650exportKEY_COUNTRY=CNexportKEY_PROVINCE=ShandongexportKEY_CITY=QingDaoexportKEY_ORG=51devopsexportKEY_EMAIL=uberurey_exportKEY_OU=OpsexportKEY_NAME=51devops生成OpenVPN 证书以及key：12345678sourcevars./clean-all./pkitool-initca././build-dh

8、#././chmod400/etc/openvpn/easy-rsa/2.0/keys/.key编写一个OpenVPN Server端的配置文件：vim /etc/openvpn/server.conf12345678910111213141516171819port1194prototcpdevtunca/etc/openvpn/easy-rsa/2.0/keys/ca.crtcert/etc/openvpn/easy-rsa/2.0/keys/no

9、.crtkey/etc/openvpn/easy-rsa/2.0/keys/.keydh/etc/openvpn/easy-rsa/2.0/keys/dh2048.pemserverifconfig-pool-persistclientiplist.txtclient-to-clientduplicate-cnkeepalive10120comp-lzopersist-keypersist-tunstatus/var/log/openvpn-status.loglog/var/log/

10、openvpn.loglog-append/var/log/openvpn.logverb3启动OpenVPN并配置iptables：123456789serviceopenvpnstartserviceopenvpnstatusifconfigtun0cat/var/log/openvpn.logcat/var/log/openvpn-status.logiptables-IINPUT-ptcp-mstate-stateNEW-mtcp-dport1194-jACCEPT#iptables-IINPUT-mstate-stateNEW-mudp-pudp-dport1194-jACCEPTi

11、ptables-save|serviceiptablesstatusserviceiptablessave编辑内核参数，启用转发功能：1234vim/etc/sysctl.confnet.ipv4.conf.default.accept_source_route=1net.ipv4.conf.default.rp_filter=0net.ipv4.ip_forward=1或者：123sysctl-wnet.ipv4.conf.default.accept_source_route=1sysctl-wnet.ipv4.conf.default.rp_filter=0sysctl-wnet.ipv

12、4.ip_forward=1配置iptables，配置sNAT和FORWARD规则：1234modprobeiptable_natiptables-tnat-APOSTROUTING-s/24-oeth1-jMASQUERADEiptables-DFORWARD-jREJECT-reject-withicmp-host-prohibitedserviceiptablessave|iptables-save/etc/sysconfig/iptablestips：也可以清空iptables所有配置，再添加允许规则，这样可以避开一些reject规则。可以通过iptables -t n

13、at -nL -v命令查看nat表状态。1iptables-tnat-APOSTROUTING-s/24-oeth1-jMASQUERADE配置主机B（客户端）安装OpenVPN客户端：12yum-yinstall/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmyum-yinstallopensslopenvpn编辑OpenVPN Client配置文件：123456789101112131415161718vim/etc/openvpn/client.confclientdevtu

14、nport1194prototcpremote281194resolv-retryinfinitenobindpersist-tunca/etc/openvpn/ca.crtcert/etc/openvpn/.crtkey/etc/openvpn/.keyremote-cert-tlsserverscript-security3ns-cert-typeservercomp-lzoadaptiveverb3mute20缩小证书文件的权限，只允许当前用户访问，不允许组内其他用户和其他组访问12chmod400/etc/openvpn/.keyserviceopenvpnrestart配置路由：12routeadd-host/32devtun0route