1.问题描述

客户需求：ECS1需要访问140.131.208.0/24 ，由于140.131.208.0/24网段属于公网地址，在CSW侧为进行并网。

解决方案：故将ECS1发起的请求其在云内ECS2做DNAT，将该网段转换成CSW并网网段170.101.253.0/24，通过CSW到防火墙，在通过防火墙的DNAT将地址转换成原来140.131.208.0/24网段，去访问目标srever。

2.1. 添加Vrouter路由

1.登陆ASCM，在产品选择VPC，在组织架构选择ECS1所在组织，选择相应的路由表由

2.添加路由

IPv4网段：140.131.208.0/24

下一跳类型：ECS实例

ECS实例：ECS2的实例ID

2.2. ECS2 相关配置

1.开启路由转发功能

打开ECS2终端，以管理员权限登录。编辑 /etc/sysctl.conf 文件，可以使用任何文本编辑器.

sudo nano /etc/sysctl.conf

在文件中找到并取消注释（去掉前面的 #）以下行：net.ipv4.ip_forward=1，如果没有该行，可以在文件的末尾添加。

保存并退出文件。

运行以下命令使更改生效：sudo sysctl -p

确认路由转发功能是否已开启，运行以下命令：cat /proc/net/ipv4/ip_forward，如果输出为 1，则表示路由转发功能已开启。

2.iptables DNAT配置

打开ECS2终端，以管理员权限登录。

输入：

iptables -t nat -A PREROUTING -d 140.131.208.X -j DNAT --to 170.101.253.x

说明：根具需求配置相应DNAT规则。

查看iptables规则是否设置成功

iptables -nL

保存iptables 规则：

iptables-save > /etc/sysconfig/iptables

#以上命令二选一即可

持久化iptables 规则

编辑/alidata/bin/start，此脚本执行是容器内的1号进程，将iptables-restore < /etc/sysconfig/iptables 写入此脚本，在服务启动的时候加载iptables 规则

sudo vi /alidata/bin/start

iptables-restore < /etc/sysconfig/iptables

2.3.云下firewall配置

         客户自行完成配置。

         说明：防火墙规则需和ECS2的iptables规则相对应。

3.结果验证

从ECS1上tracepath 221.131.208.0/24网段地址，结果可以达到目的IP。