準(zhǔn)備：

1、內(nèi)網(wǎng)172.16.1.51

ifdown eth0

route add default gw 172.16.1.51

測試：

ping www.baidu.com

ping 203.81.19.1

結(jié)果應(yīng)該是不通豌蟋。

2奶稠、網(wǎng)關(guān)服務(wù)器 172.16.1.8

eth0:10.0.0.8

eth1:172.16.1.8

gw: 10.0.0.254

修改內(nèi)核轉(zhuǎn)發(fā)：

內(nèi)核文件/etc/sysctl.conf里開啟轉(zhuǎn)發(fā)功能淌山。

在服務(wù)器網(wǎng)關(guān)B 172.16.1.8機器上開啟路由轉(zhuǎn)發(fā)功能病涨。

編輯/etc/sysctl.conf修改內(nèi)容為net.ipv4.ip_forward = 1楞慈，然后執(zhí)行sysctl -p使修改生效败潦。

[root@oldboy ~]# sysctl -p

net.ipv4.ip_forward = 1

測試：ping www.baidu.com 結(jié)果通。

調(diào)整iptables環(huán)境

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -F

3厨埋、生產(chǎn)案例：

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.8

局域網(wǎng)共享的兩種方法：

方法1：適合于有固定外網(wǎng)地址的：

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.8

(1)-s 172.16.1.0/24 辦公室或IDC內(nèi)網(wǎng)網(wǎng)段邪媳。

(2)-o eth0 為網(wǎng)關(guān)的外網(wǎng)卡接口。

(3)-j SNAT --to-source 10.0.0.8 是網(wǎng)關(guān)外網(wǎng)卡IP地址荡陷。

方法2：適合變化外網(wǎng)地址（撥號上網(wǎng)）：

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE? ? ##偽裝雨效。

老男孩教育iptables項目案例2：外網(wǎng)IP的端口映射到內(nèi)網(wǎng)IP的端口

需求：將網(wǎng)關(guān)的IP和9000端口映射到內(nèi)網(wǎng)服務(wù)器的22端口

端口映射 10.0.0.8:9000 -->172.16.1.51:22

實現(xiàn)命令：

iptables -t nat -A PREROUTING -d 10.0.0.8 -p tcp --dport 9000 -j DNAT --to-destination 172.16.1.51:22

(1)-d 10.0.0.8目標(biāo)地址。

(2)-j DNAT 目的地址改寫废赞。

老男孩教育iptables項目案例3：IP一對一映射

輔助IP：

ip addr add 10.0.0.81/24 dev eth0 label eth0:0? #<==輔助IP

iptables? -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51

iptables? -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source 10.0.0.81

#適合內(nèi)網(wǎng)的機器訪問NAT外網(wǎng)的IP

iptables? -t nat -I POSTROUTING -s 172.16.1.0/255.255.240.0 -d 10.0.0.81 -j SNAT --to-source 172.16.1.8

檢查：

ping 10.0.0.81 -t

tcpdump|grep -i icmp（兩臺機器上分別監(jiān)測）

telnet 10.0.0.81 873(51上提前配好)

映射多個外網(wǎng)IP上網(wǎng)

方法1：

iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16

三層交換機或路由器徽龟，劃分VLAN。

方法2：

iptables -t nat -A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11

iptables -t nat -A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12

擴大子網(wǎng)唉地，增加廣播風(fēng)暴据悔。

課外閱讀：

(1)生產(chǎn)環(huán)境大于254臺機器網(wǎng)段劃分及路由解決方案詳解01

http://v.youku.com/v_show/id_XNTAyMjAwMzI0.html

(2) linux route命令深入淺出與實戰(zhàn)案例精講

http://oldboy.blog.51cto.com/2561410/1119453

http://oldboy.blog.51cto.com/2561410/974194

必看3遍以上。

有關(guān)iptables的內(nèi)核優(yōu)化

調(diào)整內(nèi)核參數(shù)文件/etc/sysctl.conf

以下是我的生產(chǎn)環(huán)境的某個服務(wù)器的配置：

------------解決time-wait過多-------------

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.tcp_max_tw_buckets = 36000

----------------------------------

net.ipv4.ip_local_port_range = 4000? 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

----------------------------------

#dmesg里面顯示 ip_conntrack: table full, dropping packet.的錯誤提示耘沼，什么原因极颓？如何解決？

#iptables優(yōu)化

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

iptables做局域網(wǎng)網(wǎng)關(guān)（網(wǎng)絡(luò)管理耕拷、NAT轉(zhuǎn)發(fā)）：

1讼昆、局域網(wǎng)有一個外網(wǎng)IP（包括動態(tài)）的前提下。

2骚烧、例：企業(yè)級路由器的配置

路由連接地址為10.1.34.81/24

默認(rèn)路由：10.1.34.1

分配的公網(wǎng)ip地址：110.233.24.96/27 255.255.255.224

要求購買企業(yè)級路由器：

用zebra(quagga)替代企業(yè)級路由器：

Linux上配置zebra(quagga)路由:

client(config)#int eth0

client(config-if)#ip add 10.1.34.81 255.255.255.0

client(config-if)#int eth1

client(config-if)#ip add 110.233.24.96 255.255.255.224

client(config)#ip route 0.0.0.0 0.0.0.0 10.1.32.1

client(config)#ip route 110.233.24.96/27 eth1

重點：

1浸赫、老男孩教育iptables項目案例1：局域網(wǎng)共享上網(wǎng)：

2、老男孩教育iptables項目案例2：外網(wǎng)IP的端口映射到內(nèi)網(wǎng)IP的端口

3赃绊、老男孩教育iptables項目案例3：IP一對一映射

4既峡、有關(guān)iptables的內(nèi)核優(yōu)化

下節(jié)課：

1、mysql介紹

2碧查、安裝方式运敢，安裝

3、多實例安裝忠售。

4传惠、常用管理命令。