需求:现有3台阿里云的ECS服务器,须要进行内网通信。
实际状况是:3台机器只能经过外网通信,而且在同一个地区,可是不一样的可用区,处于同一个帐号下。
以前都不知道阿里云可以组内网,只是感受这个功能应该有。因而电话去问了一下,还真能实现。
根据阿里云的用户指南:
登陆云服务器管理控制台,创建安全组。将3个ECS实例加到安全组中。根据指南,咱们这种状况只要加入经过一个
安全组就能够默认内网通信了。可是发现仍是只能走外网,内网不通。
根据阿里云建议,关闭防火墙,发现内网通信成功。
可是这样安全性大大下降。不能将iptables直接关掉。
根据阿里云提示,这个内网通信主要是经过内网网卡进行的,在iptables中加入对内网网卡的规则就行了!
# Generated by iptables-save v1.4.7 on Wed Sep 28 09:15:42 2016
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [892583:785992024]
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Sep 28 09:15:42 2016
重启iptables以后发现内网正常通信,外网ping已经禁掉!