Linux 主機作Gateway功能
用一台可以連外的主機當Gateway,其他的電腦則用這台主機建構的DHCP來連到網路,已經是很多人家裡的網路配置方法。之前大部分都用現成的filmware 來作,或用有圖形介面的工具來達成,不過這次分享的是希望完全用指令來實做。
動機是部屬好的諸台主機已經是drbl環境了,因此drbl server有兩張網卡並對外,而要當client的只連接到內部區網中。雖然drbl client是不需要內建os的,不過考慮到有朝一日還是會用到內建的硬碟開機,所以還是把他的硬碟灌一灌。不過麻煩的是client的網路都已經接在內部網域了,在不重改接線配置的情況下,最簡單的方法還是讓drbl server這台當gateway,client透過server連到外部網路把軟體裝好在硬碟之後,再用drbl server用clone zilla功能把裝好的client 備援起來。由於是最簡單的設定,因此也不搞dhcp了,直接用static ip 定址,搭配NAT的ip_forward,讓內部的機器可以把封包送出去。
環境
- drbl server (Debian Etch)
兩張網卡,eth1對內,eth2對外:
| eth1 | 192.168.1.254 | 內部區網的gateway address |
| eth2 | 140.110.111.222 | 對外連接的網卡設定 |
- drbl client
| eth1 | 192.168.1.12 | 固定位址 |
server 設定
網卡設定
- vim /etc/network/interface
auto lo iface lo inet loopback auto eth2 auto eth1 iface eth2 inet static address 140.110.111.222 netmask 255.255.255.055 gateway 140.110.111.254 dns-nameservers 140.110.16.1 dns-search nchc.org.tw iface eth1 inet static address 192.168.1.254 netmask 255.255.255.0
重新啟動網路:
$ /etc/init.d/network restart
DNS
安裝bind就可以解析域名了(iptables是之後有用到順便裝)
$ apt-get install bind iptables
NAT
打開ip forward
$ echo 1 > /proc/sys/net/ipv4/ip_forward
讓防火牆開啟NAT功能,由於是固定ip,用snat較有效率
$ iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to 140.110.111.222
PS:若對外ip是用pppoe的方式,或不是固定ip,則動態配置用MASQUERADE比較不麻煩,壞處是較無效率
$ iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
重開機也有效的NAT設定
以上的指令只是暫時有效,但一重開機後又回覆預設值,因此修改ip forward預設值才是長久之計:
- vim /etc/sysctl.conf
net.ipv4.conf.default.forwarding=1 # 把註解拿掉
- vim /etc/network/if-up.d/iptables
#!/bin/sh # Set up firewall rules. /sbin/iptables-restore /etc/network/iptables.rules
- make the script executable.
# chmod 755 /etc/network/if-up.d/iptables # iptables-save > /etc/network/iptables.rules
Client設定
Client的設定很簡單,只要設定正確的區域網路位址,gateway設定到server的對內網卡ip就可以了,連dns都不用設。
- vim /etc/network/interface
auto lo iface lo inet loopback auto eth1 iface eth1 inet static address 192.168.1.12 netmask 255.255.255.0 gateway 192.168.1.254
如果server有用dhcp的話,設定更簡單了:
auto lo iface lo inet loopback auto eth1 iface eth1 inet dhcp
