什么是GRE隧道?
类似于代理,GRE隧道使您可以将来自VPS的流量(包括DDoS过滤)传递到另一个远程目标。GRE隧道允许所有流量通过,而不仅仅是HTTP。借助GRE隧道,您可以提供服务,并从任何类型的服务器(音频,FTP,SSH,SCP,视频等)传递任何类型的内容。
可以使用GRE隧道做什么?
当您想使用我们的DDoS过滤服务来保护太大的服务(例如游戏服务器,Java应用程序,大型数据库驱动的应用程序等)时,GRE隧道非常方便。没有对目标服务器的root访问权,或者正在运行大型Windows部署?查看我们将流量重定向牵引到您的远程服务器的替代方法。
注意:如果您正在隧道连接到OVH服务器,则您的内核很可能没有GRE支持。您将需要使用IPIP隧道。
支持的操作系统
可以使用Windows创建和转发GRE隧道
在本文档中,我们仅介绍Linux的GRE隧道配置。
本指南在KVM或者OpenVZ的服务器上都可以起作用
前提
- BuyVM VPS上安装的iptables(大多数情况下已包括在内)
- iproute2(几乎所有最新的Linux发行版中都包含)
- 具有GRE支持的内核(Linux默认包含该组件-ip_gre内核模块)
- 您需要转发到目的地的端口列表
隧道设置
首先,我们需要建立隧道。
在BuyVM VPS上,请执行以下命令:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p iptunnel add gre1 mode gre local YOUR_UNFILTERED_IP remote DESTINATION_SERVER_IP ttl 255 ip addr add 192.168.168.1/30 dev gre1 ip link set gre1 up
在要保护的远程服务器上,运行以下命令:
iptunnel add gre1 mode gre local DESTINATION_SERVER_IP remote YOUR_UNFILTERED_IP ttl 255 ip addr add 192.168.168.2/30 dev gre1 ip link set gre1 up
您将始终希望使用所有GRE隧道的未过滤 IP地址来形成GRE,以确保您不会遇到任何类型的MTU问题或触发DDOS保护。
请注意每个更改的第一行,以标记要在本地和远程使用的IP。第二行记录每个端点。在/ 30中,可以使用2个IP:.1和.2。
使用Ping测试您的新GRE隧道
在VPS上,您现在应该可以ping了192.168.168.2。
为了完整起见,请192.168.168.1从目标服务器测试ping 。
设置源路由表
需要源路由条目,以确保通过GRE隧道传入的数据被发回GRE隧道。
请在目标服务器上执行以下命令。
echo '100 BUYVM' >> /etc/iproute2/rt_tables ip rule add from 192.168.168.0/30 table BUYVM ip route add default via 192.168.168.1 table BUYVM
请注意,echo命令只需要运行一次。该条目将保存到/ etc / iproute2 / rt_tables中,直到您手动将其删除。
初始NAT条目以通过GRE隧道移动数据
NAT用于通过GRE将数据传递到另一端。
虽然可以使用已购买的/ 29分配的基于KVM的VPS,但本指南不涵盖此内容。
在VPS上,运行以下命令:
iptables -t nat -A POSTROUTING -s 192.168.168.0/30 ! -o gre+ -j SNAT --to-source 源ip
测试出站连接
在目标服务器上,您可以运行以下命令之一,以查看隧道是否正确传递了流量:
curl http://www.cpanel.net/showip.cgi --interface 192.168.168.2
wget http://www.cpanel.net/showip.cgi --bind-address = 192.168.168.2 -q -O-
IP应该是您的防御节点的IP。
通过GRE隧道转发端口
为了使事情变得容易,我们将所有端口转发到后端服务器。
在VPS上运行以下命令:
iptables -t nat -A PREROUTING -d YOUR_FILTERED_IP -j DNAT --to-destination 192.168.168.2 iptables -A FORWARD -d 192.168.168.2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
如果您想更具体一点,可以添加:
-p tcp --dport 25565
例如,如果您只是想保护Minecraft服务器。
第一条规则设置实际的端口转发,第二条规则确保连接获得NAT,并正确匹配。
在这一点上,您应该能够YOUR_FILTERED_IP使用您的应用程序连接到目标端口,并通过GRE隧道传递而不会出现问题。
重新启动后重新启动GRE隧道
可以/etc/rc.local使用自己喜欢的编辑器进行编辑(甚至使用WINSCP),并将刚运行的所有命令exit 0放在底部。
选择发行版(如Debian)可能/etc/network/interfaces在启动时加入了GRE隧道,但这超出了本指南的范围。
