设为首页 收藏本站
查看: 2396|回复: 0

[经验分享] kvm+nat+iptables

[复制链接]

尚未签到

发表于 2016-1-8 10:20:00 | 显示全部楼层 |阅读模式
使用kvm虚拟化后,如果我们虚拟机使用的是nat模式,那么我们的虚拟机是可以访问外网,但是呢?外网无
法直接访问到我们内网虚拟机,这种情况下,我们就得在宿主机器里面做端口映射,允许外面访问我们虚拟
机的20、21、22、80、1433、3306、3389,还有ftp的被动端口;在linux下我们使用iptables来达到目的.
废话少说,来个实战!

准备描述:
宿主系统:ubuntu 12.10
宿主双公网IP: 192.168.0.100,10.0.1.100(这里我假设的啊,大家根据自己的实际情况修改)
双IP配置的接口分别是eth0、eth0:0

虚拟机机:
IP范围:192.168.10.2~192.168.10.62
虚拟机网关192.168.10.1

同时,我也对宿主稍微做了下IP 访问限制,和虚拟机vnc限制

现在我们开始附上我的脚本
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
#!/bin/bash

PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
export PATH

# define variable
DXIP="192.168.0.100"
WTIP="10.0.1.100"
IF0="eth0"
IF1="eth0:0"
INNET="192.168.10.0/24"
INIP="192.168.10."
PASVPORTSTART=49999
ENDIP=62
VPNIP1=100.100.100.2
VPNIP2=200.200.200.2
VPNIP3=1.1.1.2

# clear iptables rules
for tb in filter nat mangle
do
iptables -t $tb -F
iptables -t $tb -X
iptables -t $tb -Z
done

# policy set  and lo set
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# allow  ip forward
sed -i "s/\#net\.ipv4\.ip_forward=1/net\.ipv4\.ip_forward=1/g" /etc/sysctl.conf
echo "1" > /proc/sys/net/ipv4/ip_forward

# allow who can use these port on this host and icmp
for ip in $VPNIP1 $VPNIP2 $VPNIP3
do
iptables -A INPUT -s $ip -p icmp -j ACCEPT
iptables -A INPUT -s $ip -p tcp --dport  22 -j ACCEPT
iptables -A INPUT -s $ip -p tcp --dport  5900:5990 -j ACCEPT
done

# kvm_servcie port
iptables -A INPUT -p tcp --dport  50120 -j ACCEPT

# data segment out wrap 、MASQUERADE
iptables -t nat -A POSTROUTING -s $INNET -o $IF0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s $INNET -o $IF1 -j MASQUERADE

# vm 3389、22、20、21、1433、3306、80 port and ftp pasv ports range
for i in `seq 2 $ENDIP`
do
[ "$i" == "26" ] && continue

for j in 20 21 22 80 1433 3306 3389
do
DPORT=$((1000*$i+$j))
iptables -t nat -A PREROUTING -i $IF0 -p tcp -m tcp --dport $DPORT \
                -j DNAT --to-destination ${INIP}$i:$j
iptables -t nat -A PREROUTING -i $IF1 -p tcp -m tcp --dport $DPORT \
                -j DNAT --to-destination ${INIP}$i:$j
done

for((p=1;p<=5;p++))
do
PASVPORT=$((PASVPORTSTART=$PASVPORTSTART+1))
iptables -t nat -A PREROUTING -i $IF0 -p tcp -m tcp --dport $PASVPORT \
                -j DNAT --to-destination ${INIP}$i:$PASVPORT
iptables -t nat -A PREROUTING -i $IF1 -p tcp -m tcp --dport $PASVPORT \
                -j DNAT --to-destination ${INIP}$i:$PASVPORT
done
done

DSC0000.png

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-161779-1-1.html 上篇帖子: CentOS下KVM试用 下篇帖子: virtualbox和kvm的区别
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表