云实践 | 百度云网络与安全最佳实践（五）NAT网关的配置

百度开放云NAT网关的配置方案

万年不变的小提示：双击图片就可以查看清晰大图哦！重点图片点开看！

需求

客户通过NAT网关的方式，实现对外访问的统一管理，同时内部服务也隐藏了身份，保证了业务系统更高的安全性。

解决方案

配置步骤详情

Part1-云服务器A(NAT网关)的配置步骤

#1. 工单申请

为了确保百度云中的资源安全，默认情况下不允许云服务器（BCC）发送出来数据包的源IP与百度云分配给其的IP不一致。但是该A云服务器（BCC）作为NAT网关设备，需要在向其他云服务器转发数据包，其源IP是后端真实的client端BCC的内网IP，所以需要在后台为此NAT网关的BCC的设置特殊的转发策略。请提工单申请，说明此NAT网关的BCC ID及EIP IP地址，并介绍业务场景， 等待工单审核。

#2. 确保iptables服务启动

工单申请审核通过后，百度云后台会对此云服务器A设置特殊的转发策略，因为在云服务器A上配置的NAT规则需要通过iptables服务来生效，因此请客户确保这个iptables服务是启动的

#3. 修改系统参数

修改/etc/sysctl.conf文件，将net.ipv4.ip_forward的值设置为1。如果文件没有net.ipv4.ip_forward字段，则新增一行，内容为“net.ipv4.ip_forward = 1”。
修改文件后，执行sysctl -p命令生效。

#4.配置NAT规则

建议针对每个客户机配置一条NAT规则，按需配置规则，命令如下：

iptables -t nat -A POSTROUTING -s SOURCE_IP -j SNAT --to NAT_IP

其中SOURCE_IP指的是客户机的内网IP，NAT_IP指的是NAT网关设备的内网IP

云服务器A上具体的操作如下：

iptables -t nat -A POSTROUTING -s 192.168.1.20 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.1.21 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.2.20 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.2.21 -j SNAT --to 192.168.1.5
  iptables -t nat -A POSTROUTING -s 192.168.2.22 -j SNAT --to 192.168.1.5

Part2-客户通用服务器（B、C、D、E、F）的配置步骤

客户client机器（B、C、D、E、F）需要将默认路由指向NAT网关设备，如果将默认路由指向NAT网关设备，这样所有本子网之外的访问都会经过NAT网关设备。如果客户机挂在BLB后 端，BLB无法正常工作。为了不影响其他服务的访问，也避免所有的南北向流量经过NAT网关设备，我们需要修改客户机的路由，命令如下：

route add -net   10.0 .0.0/8  gw GATEWAY_IP
route add -net   100.64.0.0/10  gw GATEWAY_IP
route delete   default  gw GATEWAY_IP
route add default gw NAT_IP

其中GATEWAY_IP是当前的网关IP，NAT_IP是NAT网关设备的IP

云服务器B上具体操作如下：

route add -net 10.0.0.0/8 gw 192.168.0.1
route add -net 100.64.0.0/10 gw 192.168.0.1
route delete default gw 192.168.0.1
route add default gw 192.168.1.5

其他云服务器（C、D、E、F）操作，与云服务器B上操作一致。

Part3-安全策略的配置步骤

设置安全组，打开安全策略，允许A、B、C、D、E、F访问外网。

Part4-测试验证

使用VNC分别登录云服务器C、D、E、F，ping www.baidu.com，验证NAT网关可用性，以云服务器B为例的测试如下：

百度云

微信：baidu_cloud

https://cloud.baidu.com

长按二维码关注