centos外网代理？centos网站搭建教程

vmware下的linux服务器怎样才能让外网访问

1、明确LINUX服务器内网访问地址端口，确保LINUX服务器正常开启SSH服务，在内网SSH可以正常访问连接。

2、被访问端的Linux主机上使用nat123动态域名解析Linux版本。在被访问端的Linux服务器安装nat123客户端，并登录使用它。

3、登录网页，左侧用户中心，添加域名解析，选择动态域名解析并添加确认。选择动态域名解析记录，使用免费二级域名，或自己的域名。鼠标放在输入框有向导提示。如不理解负载均衡，不要勾选多点登录。

4、新添加动态解析后，等待几分钟生效。解析生效后，动态解析域名与本地公网IP是保持对应的。可以通过ping下域名核实，返回结果IP地址为本地公网IP地址时，表示动态解析生效正常。

5、路由器端口映射，路由映射SSH访问22端口。因为公网IP是在路由器上的，外网访问时，需要经过路由，需要在路由器上做端口映射，将内网LINUX服务器访问22端口打通。路由器端口映射位置：转发规则/虚拟服务器/添加允许外网访问端口和协议。

6、外网访问时，使用动态解析域名。在外网使用SSH访问内网LINUX服务器时，使用动态解析域名进行连接访问。域名是不变的，可以上网即可访问，再也不担心动态公网IP变化的问题。

CentOS网络配置后无法访问外网的解决方法

关于CentOS网络的具体配置项，可以参考Mitchell博客之前的那篇文章。

现象：

ping内网正常

ping外网IP，域名均无法正常，返回错误：connect: Network is unreachable

后面在无意中看到Linux网络配置有添加网关的命令：

复制代码代码如下:

route add default gw 192.168.128.2 dev eth0

按上面操作，添加了默认的网关之后。再次访问外网一切正常。

有这个现象来看，应该是配置文件中没有配置网关，但是经过确认/etc/sysconfig/network中是配置了GATEWAY地址的，而且GATEWAY的地址也是正确的，在多次重启network之后，只要不手动添加网关，就不能访问外网。

多次仔细确认各个网络配置文件之后，发现在网卡配置文件中（ifcfg-eth0）有一个NETWORK配置项，对于这个配置项，本身作用不是很清楚，因此到官网查看了一下说明：

复制代码代码如下:

NETWORK=

where is the network address. This directive is deprecated, as the value is calculated automatically with ifcalc.

这节奏是告诉我们这个参数不要设置嘛（deprecate），这个值将会由ifcalc自动计算。既然不用设置，自然去掉。

去掉之后，重启network服务之后，外网竟然神奇的能够访问了。使用route查看路由表，发现能够自动添加default这条信息了，原来可是一直没有的：

复制代码代码如下:

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.128.0* 255.255.255.0 U 0 0 0 eth0

link-local* 255.255.0.0 U 1002 0 0 eth0

default 192.168.128.2 0.0.0.0 UG 0 0 0 eth0

看来问题正是这个NETWORK参数设置引起的。至于具体为什么会这样，这个设置会产生什么样的影响还不是很清楚。

TIPs：为了简单，你也可以将IPADDR，GATEWAY等设置到ifcfg-eth*的文件中，不用将GATEWAY单独设置在network中。

怎么阻止centos7主动访问外网

1. IP封禁（这个是我们平时用得最多的）

# firewall-cmd--permanent--add-rich-rule="rule family='ipv4' source address='222.222.222.222' reject"单个IP

# firewall-cmd--permanent--add-rich-rule="rule family='ipv4' source address='222.222.222.0/24' reject" IP段

# firewall-cmd--permanent--add-rich-rule="rule family=ipv4 source address=192.168.1.2 port port=80 protocol=tcp accept"单个IP的某个端口

这个是我们用得最多的。封一个IP，和一个端口 reject拒绝 accept允许

当然，我们仍然可以通过 ipset来封禁 ip

# firewall-cmd--permanent--zone=public--new-ipset=blacklist--type=hash:ip

# firewall-cmd--permanent--zone=public--ipset=blacklist--add-entry=222.222.222.222

封禁网段

# firewall-cmd--permanent--zone=public--new-ipset=blacklist--type=hash:net

# firewall-cmd--permanent--zone=public--ipset=blacklist--add-entry=222.222.222.0/24

倒入 ipset规则

# firewall-cmd--permanent--zone=public--new-ipset-from-file=/path/blacklist.xml

然后封禁 blacklist

# firewall-cmd--permanent--zone=public--add-rich-rule='rule source ipset=blacklist drop'

2、IP封禁和端口

# firewall-cmd--permanent--add-rich-rule="rule family=ipv4 source address=192.168.1.2 port port=80 protocol=tcp accept"

只对192.168.1.2这个IP只能允许80端口访问（拒绝访问只需把 accept换成 reject、删除该规则把–add-rich-rule改成–remove-rich-rule即可）

# firewall-cmd--permanent--add-rich-rule="rule family=ipv4 source address=192.168.1.2/24 port port=80 protocol=tcp accept"

只对192.168.1.2这个IP段只能允许80端口访问（拒绝访问只需把 accept换成 reject、删除该规则把–add-rich-rule改成–remove-rich-rule即可）

3、双网卡内网网卡不受防火墙限制

# firewall-cmd--permanent--zone=public--add-interface=eth1

公网网卡–zone=public默认区域

# firewall-cmd--permanent--zone=trusted--add-interface=eth2

内网网卡–zone=trusted是受信任区域可接受所有的网络连接

重新载入以生效

# firewall-cmd--reload