海运的博客

Iptables实现NAT是最基本的功能，大部分家用路由都是基于其SNAT方式上网，使用Iptables实现外网DNAT也很简单，不过经常会出现不能正常NAT的现象。
以下命令将客户端访问1.1.1.1的HTTP数据DNAT到2.2.2.2，很多人往往只做这一步，然后测试不能正常连接。

iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to 2.2.2.2:80

想像一下此时客户端访问1.1.1.1的数据流程：

客户端访问1.1.1.1
1.1.1.1根据Iptables DNA将数据包发往2.2.2.2，此时源IP为客户端IP
2.2.2.2处理后根据源IP直接向客户端返回数据，要知道此时客户端是直接和1.1.1.1连接的
然后呢，客户端不知所云，不能正常连接

最后还要添加一条SNAT规则，将发到2.2.2.2的数据包SNAT，1.1.1.1充当代理服务器的角色。

iptables -t nat -A POSTROUTING -d 2.2.2.2 -j SNAT --to-source 1.1.1.1

别忘记开启内核转发功能：

echo 1 > /proc/sys/net/ipv4/ip_forward

和HE服务器建立IPV6 Tunnel连接：

/interface 6to4 add name=he-ipv6 remote-address=216.218.221.6 local-address=111.111.11.1 disabled=no 

ROS添加HE分配的IPV6地址：

/ipv6 address add address=2001:470:18:5da::2/64 advertise=yes disabled=no eui-64=no interface=he-ipv6 

ROS添加默认IPV6路由：

/ipv6 route add disabled=no dst-address=::/0 gateway=he-ipv6

测试IPV6：

ping 2404:6800:4008:c01::65                                                                                                                       
2404:6800:4008:c01::65                     56  58 396ms echo reply

安装tunctl用于新建TAP/TUN设备，TAP为以太网设备，TUN为网络层设备。

yum install tunctl
#debian下为uml-utilities

Client配置：

tunctl -t tap1
ifconfig tap4 192.168.1.1 netmask 255.255.255.0 up

Server配置：

tunctl -t tap2
ifconfig tap2 192.168.1.2 netmask 255.255.255.0 up
echo "PermitTunnel yes" >> /etc/ssh/sshd_config

Client发起SSH Tunnel连接：

ssh -N -f -o Tunnel=ethernet -w 1:2 remote-host
#-w local tap id:remote tap id

之前有文章介绍Xen下通过ionice限制VM虚拟机硬盘IO优先级，XenServer获取虚拟机进程和Xen不同，可通过以下方法查找虚拟机IO进程，并使用ionice限制。
首先获取VM虚拟机的UUID：

xe vm-list name-label=<vm-name> --minimal

然后再获取VM的DOM ID：

list_domains |awk '/<vm-uuid>/ {print $1}'

通过DOM ID获取VM相对应的进程ID：

ps aux|grep xb.*<dom-id>.xvd
root     10995  0.0  0.0      0     0 ?        S    10:08   0:01 [xb.00003.xvda]
root     10996  0.0  0.0      0     0 ?        S    10:08   0:00 [xb.00003.xvdd]

使用ionice调整相应进程的IO优先级策略即可。