国内徐庄1.1.1.1     内网地址192.168.0.0/16  gre隧道适配器地址 172.16.0.45

国外2.2.2.2内网地址无 gre隧道地址172.16.0.46

国外 centos6  国内ros

1、查看当前centos版本号

cat /etc/redhat-release

2、查看当前CENTOS是否安装防火墙以及状态

service iptables status

如果提示 iptables：unrecognized service 则表示系统尚未安装。

安装防火墙

yum install iptables

3、配置防火墙

vi /etc/sysconfig/iptables

*nat

:PREROUTING ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

#允许哪些段进行NAT，这里注意-o后面跟的是网卡，要用ifconfig看当前外网IP在哪个网卡上，我这里是eth0。

如果vps有子网卡的情况，比如外网IP是在venet0:0上面，xxx:0,xxx:1等等的时候，注意把-0的接口写到venet0上，而不要写到子接口上 

-A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE

-A POSTROUTING -s 172.0.0.0/8 -o eth0 -j MASQUERADE

COMMIT

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

# 允许已建立的或相关连的通行

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许本地回环接口

-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#允许本机对外访问 

-A OUTPUT -j ACCEPT 

# 允许访问SSH端口，如果端口修改了可以更改相应端口号 

-A INPUT -p tcp --dport 22 -j ACCEPT

#允许公司IP段完全访问centos

-A INPUT -p ALL -s 1.1.1.1/29 -j ACCEPT

#允许公司内网段通过防火墙

-A FORWARD -p ALL -s 192.168.0.0/16 -j ACCEPT

-A FORWARD -p ALL -s 172.0.0.0/8 -j ACCEPT

#禁止TCP新连接以及不存在的连接

-A INPUT -m state --state NEW,INVALID -j DROP

COMMIT

重启防火墙

service iptables restart

设置防火墙开机就启动

chkconfig iptables on

4、修改系统内核，允许做为路由转发，修改内核，必须重启生效

vi /etc/sysctl.conf

net.ipv4.ip_forward = 1

5、

在rc.local增加建立隧道的命令

vi /etc/rc.local

#建立隧道，本地地址和远程地址

ip tunnel add tunnel0 mode gre remote 1.1.1.1 local 2.2.2.2 ttl 245

#建立隧道的mtu为1400

ip link set tunnel0 up mtu 1400

#隧道地址为172.16.0.46/30

ip addr add 172.16.0.46/30 dev tunnel0

#为公司内网IP增加静态路由表

ip route add 192.168.0.0/16 dev tunnel0

ip route add 172.0.0.0/8 dev tunnel0

6、查看当前centos所有TCP,UDP连接的命令

cat /proc/net/nf_conntrack

cat /proc/net/nf_conntrack | grep x.x.x.x

在ROS的操作

设置GRE隧道地址 

把隧道地址打上

将源地址是apple.com的打标成APPLE

设置路由表，标签为apple的就走隧道172.16.0.38出去

修改MSS值

修改MSS或者MTU值可能会造成流量变大的情况，但是如果不修改，可能会造成网络能PING通，但是开不了网页，也就是控制包头在1524之内。