闲者博客 - 转发

nokvm NAT 新建(重建)站点、新建(重建)端口转发、失效或失败解决办法。

2022-05-11T00:30:24+08:00

问题发生：

转发机重装系统后重建nat端口转发和重建nat站点提示成功但是规则和配置文件没有生效，又继续测试新建nat站点提示配置文件写入失败。

问题排查：

手动在宿主机执行ssh命令提示会有警告信息（如下图）原因是系统记录的公钥信息和要访问的系统密钥不匹配，解决方法：ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告，导致ssh命令执行失败。

解决办法（终端登陆宿主机节点执行如下命令）：

rm -rf /root/.ssh/known_hosts

nokvm挂机宝使用教程

2022-05-10T23:45:48+08:00

:-: 挂机宝使用教程

使用挂机宝之前的注意事项：

新增节点切记勾选启用nat转发
准备两个公网ip: 节点机器占用一个, 开通的第一台vps（代理转发机）占用一个
nat节点默认创建的第一台机器为转发机(nat网关)（创建完成会自动初始化需稍等片刻）, 需要为其指定固定的公网IP ，可以正常联网。
转发机器必须使用centos7.6操作系统，务必选择正确的操作系统
分配小鸡的内网IP池网关固定为172.16.0.1，子网为255.255.248.0

关于挂机宝的一些问答：

问1：节点勾选启用nat转发后我还能创建独立vps和nat小鸡在这台节点混用吗？

答1：不行，节点一旦勾选nat后这个节点只能开通挂机宝使用。

问2：节点开启nat转发为什么需要开通的第一台vps是公网ip 这样不就浪费一个ip了吗？

答2：专门开通一台vps当做代理转发机,这样做的好处是如果代理转发机器被ddos 可以在后台快速的更换ip而不影响小鸡继续使用。

问3：我已经使用了挂机宝功能了我能中途把这台代理转发机器删掉吗？

答3：不建议删掉。可以选择重装系统然后重建之前的转发策略和nat策略。

问4：我是一个新手我该如何正确的开通并使用挂机宝。流程是什么样的？

答4：

1> 添加一个节点并启用nat转发

2> 在**后台**创建一个vps并分配给他公网ip **到期时间**设置长一些，防止**过期删除** (这台机器要保留后台使用)

3> 按照**下面详细文档说明**创建一个内网ip池并绑定到这个节点

4> 创建一个内网ip的vps 可正常使用挂机宝功能

使用挂机宝详细步骤

1、首先需要添加一个计算节点并且要勾选启用nat转发

2、添加一个公网ip池填写正确的网关子网。这个ip池里只需要给一个公网ip即可，给分配的第一台转发代理机器使用

3、接着我们创建一个转发机器并手动指定一个公网ip（这个公网ip是上一步中创建的公网ip池里的公网ip）

4、添加一个内网IP池给后面的虚拟机使用（网关定义为172.16.0.1 子网设置成255.255.248.0）

5、为刚才创建的内网IP池分配内网ip

我们可以为其分配的ip段有：

# 起始地址
 172.16.0.2 ~ 254

 172.16.1.2 ~ 254

 172.16.2.2 ~ 254

 172.16.3.2 ~ 254

 ......此处省略

# 结束地址
 172.16.7.2 ~ 254

6、现在我们就可以开通一台虚拟机了，可以vnc登陆虚拟测试是否可以联网

7、管理虚拟机里可以添加端口映射

8、管理虚拟机里可以使用nat建站（暂时只支持http 后面版本更新支持https）

问:转发策略显示process exited with status 2该如何解决啊

答:出现类似错误应该是转发机vps没有初始化正确检查机器是否有网络？或者可以尝试重装vps 来重新初始化。

nokvm提升挂机宝转发机添加策略速度

2022-05-10T23:39:44+08:00

如下设置请ssh登录到转发机执行：

# 编辑ssh主配置文件，优化以下ssh配置
vi /etc/ssh/sshd_config

// 修改监听协议
# AddressFamily any 
更改为
AddressFamily inet

// 关闭ssh服务DNS反向解析
# UseDNS yes
更改为
UseDNS no

// 重启ssh服务
systemctl restart sshd

模版镜像已经更新，新下载的centos7.6模版镜像的无需执行上述步骤（更新日期: 2020-03-25）

Linux：CentOS7防火墙开放端口配置和端口转发/映射

2022-02-23T16:45:00+08:00

1.查看已开放的端口

firewall-cmd --list-ports

2.开放端口（开放后需要要重启防火墙才生效）

firewall-cmd --zone=public --add-port=3338/tcp --permanent

3.关闭端口（关闭后需要要重启防火墙才生效）

firewall-cmd --zone=public --remove-port=3338/tcp --permanent

4.重启防火墙

firewall-cmd --reload

5.开机启动防火墙

systemctl enable firewalld

6.开启防火墙

systemctl start firewalld

7.禁止防火墙开机启动

systemctl disable firewalld

8.停止/关闭防火墙

systemctl stop firewalld

9.开启系统路由模式功能

# 开启系统路由模式功能 
echo net.ipv4.ip_forward=1>>/etc/sysctl.conf 
#使内核修改生效 
sysctl -p

下面是转发端口/端口映射

防火墙管理命令 firewall-cmd 端口转发

[scode type="red"]转发之前一定要注意的[/scode]

设置IP地址伪装

firewall-cmd --add-masquerade --permanent

1.转发规则

# 格式
port=<源端口号>:proto=<匹配协议>:toport=<目的端口号>[:toaddr=<目的IP地址>]
# 示例
port=888:proto=tcp:toport=22
# 将888端口的tcp流量转发至22端口
port=8080:proto=tcp:toport=80
# 将8080端口的tcp流量转发至80端口
port=8081:proto=tcp:toport=80:toaddr=192.168.10.10
# 将8081端口的tcp流量转发至192.168.10.10的80端口

2.完整示例

# 查看永久生效模式下，已配置的端口转发规则
firewall-cmd --permanent --list-forward-ports

# 将888端口的tcp流量转发至22端口，永久生效模式
firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=22

# 将8081端口的tcp流量转发至192.168.10.10的80端口，永久生效模式
firewall-cmd --permanent --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.10.10

# 查看当前生效的端口转发规则
firewall-cmd --list-forward-ports

#查看所有规则
firewall-cmd --list-all


# 删除已配置的转发规则(添加的有哪些参数删除的时候也要有还要端口,支持888-999格式)
firewall-cmd --remove-forward-port=port=888:proto=tcp:toport=22
# 仅当前有效

firewall-cmd --permanent --remove-forward-port=port=888:proto=tcp:toport=22
# 永久有效

firewall-cmd --reload                                                            # 使配置的永久有效规则立即生效

scode type="share"

参考资料:https://blog.csdn.net/weixin_46310295/article/details/107704545

https://www.cnblogs.com/nhdlb/p/11910615.html

https://www.cnblogs.com/cnsevennight/p/13141421.html

https://blog.csdn.net/teisite/article/details/84999582

https://www.linuxprobe.com/chapter-08.html#83_Firewalld

https://www.cnblogs.com/shawhe/p/11050088.html