在构建企业或私有云网络环境时,使用一台服务器作为统一的公网网关是一种常见且高效的网络架构,CentOS以其稳定性和开源特性,成为搭建此类网关的理想选择,本文将详细介绍如何在CentOS系统上配置一个功能完善的公网网关,实现内网服务器通过它访问外部网络。
核心原理
公网网关的核心功能是网络地址转换(NAT)和IP转发,它至少需要配置两块网卡:一块连接公网(拥有公网IP地址),另一块连接内网(拥有私网IP地址),当内网服务器发起访问公网的请求时,数据包会被发送到网关的内网网卡,网关通过IP转发功能接收该数据包,再通过NAT技术将数据包的源地址(内网IP)替换为网关自己的公网IP地址,然后转发至互联网,返回的数据流也遵循相反的过程。
环境准备
准备一台已安装CentOS系统的服务器,并确保其配备两块网卡,网络规划如下:
| 网卡接口 | IP地址类型 | 示例IP地址 | 说明 |
|---|---|---|---|
| eth0 | 公网IP | 0.113.10 | 连接互联网,由ISP或云服务商分配 |
| eth1 | 私网IP | 168.1.1 | 连接内部交换机,作为内网服务器的网关 |
内网服务器的网络配置将以168.1.1作为默认网关。
配置步骤
开启IP转发功能
Linux内核默认禁止IP转发,需要手动开启,编辑/etc/sysctl.conf文件:
sudo vi /etc/sysctl.conf
在文件末尾添加或确保存在以下一行:
net.ipv4.ip_forward = 1保存并退出后,执行以下命令使配置立即生效:
sudo sysctl -p
可以通过执行 cat /proc/sys/net/ipv4/ip_forward 命令,若输出为 1,则表示IP转发已成功开启。
配置防火墙与NAT
CentOS 7及以后版本默认使用firewalld作为防火墙管理工具,我们需要配置防火墙规则,允许从内网到外网的流量转换。
确定网络接口对应的区域(zone),公网接口应放在external区域,私网接口放在trusted或internal区域。external区域默认启用了masquerade(一种动态的SNAT)功能。
# 将公网网卡eth0加入external区域 sudo firewall-cmd --permanent --zone=external --change-interface=eth0 # 将私网网卡eth1加入trusted区域(此区域默认允许所有流量) sudo firewall-cmd --permanent --zone=trusted --change-interface=eth1 # 在trusted区域上开启masquerade(如果使用internal区域,也需要此操作) sudo firewall-cmd --permanent --zone=trusted --add-masquerade
配置完成后,重新加载防火墙使所有规则生效:
sudo firewall-cmd --reload
可以执行 sudo firewall-cmd --zone=trusted --list-all 检查masquerade是否已启用。
配置内网服务器
在内网的其他服务器上,需要将网络配置中的默认网关指向CentOS网关的私网IP地址,一台内网服务器的配置如下:
| 配置项 | 值 |
|---|---|
| IP地址 | 168.1.50 |
| 子网掩码 | 255.255.0 |
| 默认网关 | 168.1.1 |
| DNS服务器 | 8.8.8 或 114.114.114.114 |
配置完成后,保存并重启网络服务。
验证与排错
在内网服务器上,执行 ping 8.8.8.8 测试与公网的连通性,如果可以ping通,再尝试 ping www.baidu.com 以测试DNS解析是否正常,如果无法连通,请依次检查:
- CentOS网关是否已开启IP转发。
- 防火墙规则是否正确配置并已加载。
- 内网服务器的网关地址是否设置正确。
- 检查DNS设置。
相关问答FAQs
问题1:MASQUERADE和SNAT有什么区别,应该使用哪个? 解答: 两者都用于源地址转换(NAT),SNAT(Source NAT)需要你明确指定一个静态的公网IP地址作为转换后的源地址,而MASQUERADE(伪装)则会自动使用数据包发出时网关接口的IP地址作为源地址,当你的公网IP是动态获取(如DHCP)或可能变化时,MASQUERADE是更方便、更灵活的选择,对于拥有固定公网IP的服务器,使用SNAT性能上会略高一点点,但MASQUERADE在绝大多数场景下完全足够且更易于管理。
问题2:配置完成后,内网服务器可以ping通网关的私网IP,但无法访问外网,是什么原因? 解答: 这是一个典型的排错场景,问题可能出在以下几个环节:
- IP转发未开启: 这是最常见的原因,请再次确认
sysctl.conf文件中的net.ipv4.ip_forward值为1,并已执行sysctl -p。 - 防火墙规则错误: 确认
firewalld的masquerade功能已在内网接口所在的区域(如trusted或internal)中启用,确保公网接口所在的区域(如external)没有阻止出站流量。 - 网关配置错误: 检查内网服务器的默认网关是否确实设置为CentOS网关的私网IP(如192.168.1.1)。
- MTU问题: 在某些网络环境中(如通过VPN或PPPoE拨号),可能会因为MTU值不匹配导致大包无法通过,可以尝试在网关上调整MTU值或在客户端上使用较小的ping包进行测试,如
ping -s 1472 8.8.8.8。