Skip to content

Instantly share code, notes, and snippets.

@JamesHopbourn

JamesHopbourn/client-cloud-init.yaml

Created August 2, 2025 01:15
Show Gist options
  • Save JamesHopbourn/34451a135d3bfb2a514190b33b936538 to your computer and use it in GitHub Desktop.
Save JamesHopbourn/34451a135d3bfb2a514190b33b936538 to your computer and use it in GitHub Desktop.
Download ZIP
小型互联网实验环境完整文档和配置文件
Raw
client-cloud-init.yaml
#cloud-config
package_update: true
package_upgrade: true
packages:
- curl
network:
version: 2
ethernets:
enp0s3:
dhcp4: true
enp0s8:
addresses: [192.168.10.10/24]
gateway4: 192.168.10.1
dhcp4: false
runcmd:
- systemctl restart networkd
Raw
gateway-cloud-init.yaml
#cloud-config
package_update: true
package_upgrade: true
packages:
- iptables-persistent
network:
version: 2
ethernets:
enp0s3:
dhcp4: true
enp0s8:
addresses: [192.168.10.1/24]
dhcp4: false
enp0s9:
addresses: [192.168.20.1/24]
dhcp4: false
write_files:
- path: /etc/sysctl.d/99-ip-forward.conf
content: |
net.ipv4.ip_forward=1
permissions: '0644'
runcmd:
- sysctl -p /etc/sysctl.d/99-ip-forward.conf
- ip link add br10 type bridge
- ip link add br20 type bridge
- ip link set br10 up
- ip link set br20 up
- ip addr add 192.168.10.1/24 dev br10
- ip addr add 192.168.20.1/24 dev br20
Raw
server-cloud-init.yaml
#cloud-config
package_update: true
package_upgrade: true
packages:
- python3
network:
version: 2
ethernets:
enp0s3:
dhcp4: true
enp0s8:
addresses: [192.168.20.10/24]
gateway4: 192.168.20.1
dhcp4: false
write_files:
- path: /home/ubuntu/start_server.sh
content: |
#!/bin/bash
cd /home/ubuntu
python3 -m http.server 8000
permissions: '0755'
owner: ubuntu:ubuntu
runcmd:
- systemctl restart networkd
Raw
setup.md

小型互联网实验环境搭建详细步骤

前提条件

  • 安装了 Multipass 的主机系统(macOS/Linux/Windows)
  • 确保主机有足够资源:至少 6GB 内存,20GB 磁盘空间
  • 具备 sudo 权限

步骤一:创建虚拟机

1.1 创建三台虚拟机

# 创建网关虚拟机
multipass launch --name vm-gateway --cpus 2 --memory 4G --disk 10G

# 创建服务器虚拟机
multipass launch --name vm-server --cpus 2 --memory 4G --disk 10G

# 创建客户端虚拟机
multipass launch --name vm-client --cpus 2 --memory 4G --disk 10G

1.2 验证虚拟机创建

multipass list

预期输出:

Name                    State             IPv4             Image
vm-client               Running           192.168.69.21    Ubuntu 24.04 LTS
vm-gateway              Running           192.168.69.19    Ubuntu 24.04 LTS
vm-server               Running           192.168.69.20    Ubuntu 24.04 LTS

步骤二:配置服务器(vm-server)

2.1 启动 Python HTTP 服务

# 在 vm-server 上启动 HTTP 服务(后台运行)
multipass exec vm-server -- bash -c "nohup python3 -m http.server 8000 > /dev/null 2>&1 &"

2.2 验证服务启动

# 检查进程是否运行
multipass exec vm-server -- ps aux | grep python

# 本地测试服务
multipass exec vm-server -- curl -s http://localhost:8000 | head -5

预期输出包含 HTML 目录列表页面。

2.3 配置防火墙规则(阻止客户端直接访问)

# 阻止客户端直接访问服务器 8000 端口
multipass exec vm-server -- sudo iptables -A INPUT -s 192.168.69.21 -p tcp --dport 8000 -j DROP

# 允许网关访问服务器 8000 端口
multipass exec vm-server -- sudo iptables -A INPUT -s 192.168.69.19 -p tcp --dport 8000 -j ACCEPT

步骤三:配置网关(vm-gateway)

3.1 启用 IP 转发

# 启用 IP 转发功能
multipass exec vm-gateway -- sudo sysctl -w net.ipv4.ip_forward=1

3.2 配置 NAT 转发规则

# 设置 DNAT 规则:将访问网关 8000 端口的请求转发到服务器
multipass exec vm-gateway -- sudo iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to-destination 192.168.69.20:8000

# 设置 MASQUERADE 规则:对转发到服务器的请求进行源地址转换
multipass exec vm-gateway -- sudo iptables -t nat -A POSTROUTING -p tcp -d 192.168.69.20 --dport 8000 -j MASQUERADE

# 允许转发到服务器 8000 端口
multipass exec vm-gateway -- sudo iptables -A FORWARD -p tcp -d 192.168.69.20 --dport 8000 -j ACCEPT

3.3 验证规则配置

# 查看 NAT 表规则
multipass exec vm-gateway -- sudo iptables -t nat -L -n

# 查看 FORWARD 链规则
multipass exec vm-gateway -- sudo iptables -L FORWARD -n

步骤四:测试验证

4.1 测试直接访问(应该失败)

# 客户端直接访问服务器(应该超时失败)
multipass exec vm-client -- curl -m 5 http://192.168.69.20:8000

预期结果:连接超时错误

curl: (28) Connection timed out after 5028 milliseconds

4.2 测试通过网关访问(应该成功)

# 客户端通过网关访问服务器(应该成功)
multipass exec vm-client -- curl http://192.168.69.19:8000

预期结果:返回 HTML 目录列表页面

<!DOCTYPE HTML>
<html lang="en">
<head>
<meta charset="utf-8">
<title>Directory listing for /</title>
</head>
<body>
<h1>Directory listing for /</h1>
...

步骤五:持久化配置(可选)

5.1 保存 iptables 规则

在各虚拟机上保存 iptables 规则:

# 在 vm-server 上保存规则
multipass exec vm-server -- sudo sh -c "iptables-save > /etc/iptables/rules.v4"

# 在 vm-gateway 上保存规则
multipass exec vm-gateway -- sudo sh -c "iptables-save > /etc/iptables/rules.v4"

5.2 设置开机自启动

# 在 vm-gateway 上设置 IP 转发开机自启
multipass exec vm-gateway -- sudo sh -c "echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf"

# 在 vm-server 上创建服务启动脚本
multipass exec vm-server -- sudo tee /etc/systemd/system/http-server.service << 'EOF'
[Unit]
Description=Python HTTP Server
After=network.target

[Service]
Type=simple
User=ubuntu
WorkingDirectory=/home/ubuntu
ExecStart=/usr/bin/python3 -m http.server 8000
Restart=always

[Install]
WantedBy=multi-user.target
EOF

# 启用服务
multipass exec vm-server -- sudo systemctl enable http-server.service
multipass exec vm-server -- sudo systemctl start http-server.service

故障排除

常见问题

  1. 虚拟机无法启动

    # 检查 Multipass 状态
multipass version
multipass list

  2. 网络连接问题

    # 检查网络接口
multipass exec vm-server -- ip addr show

# 检查路由表
multipass exec vm-gateway -- ip route show

  3. iptables 规则不生效

    # 清空所有规则重新配置
multipass exec vm-gateway -- sudo iptables -F
multipass exec vm-gateway -- sudo iptables -t nat -F

  4. 服务无法访问

    # 检查服务进程
multipass exec vm-server -- netstat -tlnp | grep 8000

# 检查防火墙状态
multipass exec vm-server -- sudo ufw status

清理环境

完全清理实验环境:

# 停止并删除所有虚拟机
multipass stop vm-gateway vm-server vm-client
multipass delete vm-gateway vm-server vm-client
multipass purge

总结

通过以上步骤,成功实现了:

  • ✅ 三节点虚拟网络环境
  • ✅ 客户端无法直接访问服务器
  • ✅ 客户端必须通过网关访问服务器
  • ✅ 网络隔离和中转访问控制

实验环境模拟了真实的网络隔离场景,适用于学习网络安全、代理服务和网络架构设计。

Raw
setup_summary.md

小型互联网实验环境实施总结

环境概述

成功构建三节点虚拟网络环境,实现了客户端通过网关访问服务器的网络隔离架构。

部署详情

虚拟机配置

名称 IP地址 角色 状态
vm-gateway 192.168.69.19 网关转发节点 ✅ 运行中
vm-server 192.168.69.20 Python HTTP服务 ✅ 运行中
vm-client 192.168.69.21 客户端 ✅ 运行中

服务状态

  • Python HTTP服务: 在vm-server上运行,监听端口8000
  • IP转发: 在vm-gateway上已启用 (net.ipv4.ip_forward=1)

网络安全规则

vm-gateway (NAT转发规则)

# DNAT: 将访问网关8000端口的请求转发到服务器
iptables -t nat -A PREROUTING -p tcp --dport 8000 -j DNAT --to-destination 192.168.69.20:8000

# MASQUERADE: 对转发到服务器的请求进行源地址转换
iptables -t nat -A POSTROUTING -p tcp -d 192.168.69.20 --dport 8000 -j MASQUERADE

# FORWARD: 允许转发到服务器8000端口
iptables -A FORWARD -p tcp -d 192.168.69.20 --dport 8000 -j ACCEPT

vm-server (访问控制规则)

# 阻止客户端直接访问
iptables -A INPUT -s 192.168.69.21 -p tcp --dport 8000 -j DROP

# 允许网关访问
iptables -A INPUT -s 192.168.69.19 -p tcp --dport 8000 -j ACCEPT

测试验证

✅ 成功案例

# 客户端通过网关访问服务(成功)
multipass exec vm-client -- curl http://192.168.69.19:8000
# 返回: HTML目录列表页面

❌ 预期失败案例

# 客户端直接访问服务器(被阻止)
multipass exec vm-client -- curl -m 5 http://192.168.69.20:8000
# 返回: Connection timed out (符合预期)

网络架构实现

[vm-client:192.168.69.21] 
    ↓ (被阻止的直接连接)
    ✗ [vm-server:192.168.69.20:8000]
    
[vm-client:192.168.69.21] 
    ↓ (通过网关转发)
    → [vm-gateway:192.168.69.19:8000] 
        ↓ (DNAT转发)
        → [vm-server:192.168.69.20:8000] ✅

关键特性

  • ✅ 网络隔离:客户端无法直接访问服务器
  • ✅ 网关转发:所有访问必须通过网关中转
  • ✅ 服务可用:Python HTTP服务正常运行
  • ✅ 访问控制:基于iptables的精确流量控制

实验环境已完全按照需求文档要求实施并验证成功。

Raw
需求文档.md

以下是根据你的描述整理的技术需求文档,便于后续复现、实施和归档:

小型互联网实验环境搭建技术需求文档

一、项目目标

构建一个三节点的小型虚拟网络环境,包含以下角色:

  • Gateway:作为内网访问的中转路由器。
  • Server:部署一个 Python 服务。
  • Client:不能直接访问 Server,只能通过 Gateway 中转访问 Server 上的服务。

本实验旨在模拟实际网络隔离场景下,客户端通过网关访问内网服务。

二、技术栈与工具

  • 主机系统:Ubuntu (或任意支持 Multipass 的操作系统)
  • 虚拟化工具:Multipass
  • 操作系统镜像:Multipass 默认的 Ubuntu 镜像
  • Python 环境:用于在 Server 上运行服务
  • iptables / ip forwarding:用于 Gateway 设置转发规则

三、虚拟机配置

使用如下命令创建虚拟机(每台配置一致,后续会通过静态 IP 或网络配置区分角色):

multipass launch --name <vm-name> --cpus 2 --memory 4G --disk 10G

分别创建以下三台虚拟机:

名称 角色 说明
vm-gateway Gateway 作为转发节点,启用 IP 转发
vm-server Server 启动 Python 服务
vm-client Client 模拟用户端,通过 Gateway 访问服务

四、网络拓扑设计

目标是实现如下逻辑网络连接:

[Client] -- (eth1) --> [Gateway] -- (eth2) --> [Server]

要求:

  • Client 无法直接访问 Server,只能通过 Gateway 转发访问。
  • Gateway 配置双网卡分别连接 Client 和 Server 网络段。
  • Server 和 Client 在不同子网中。

示例子网配置(需通过 cloud-init 或 netplan 设置静态 IP):

虚拟机 网卡 IP 地址 子网 用途
vm-client eth1 192.168.10.10 192.168.10.0/24 Client 内网
vm-gateway eth1/eth2 192.168.10.1 / 192.168.20.1 连接两边子网
vm-server eth1 192.168.20.10 192.168.20.0/24 Server 内网

五、服务部署要求(Server)

  • vm-server 上运行一个简单 Python HTTP 服务(如使用 http.server):
python3 -m http.server 8000
  • 服务监听在 192.168.20.10:8000

六、网络转发设置(Gateway)

vm-gateway 中完成以下设置:

  1. 开启 IP 转发
sudo sysctl -w net.ipv4.ip_forward=1
  1. 配置 NAT 或转发规则: 假设使用 iptables 做 SNAT/DNAT:
# 转发 Client 请求到 Server
sudo iptables -t nat -A PREROUTING -p tcp -d 192.168.10.1 --dport 8000 -j DNAT --to-destination 192.168.20.10:8000
sudo iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

七、验证与测试

vm-client 上执行:

curl http://192.168.10.1:8000

预期能成功访问 vm-server 上的 Python 服务页面,表明中转访问成功。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment