解決論壇顯示 私有IP（VPC）的問題，建立NAT規則與IP轉發

解決論壇顯示 內網IP/私有IP（VPC）的問題，建立NAT規則與IP轉發


以下搭配 nftables 防火牆 使用




----------
前言
----------

在阿里雲、騰訊雲等大廠雲服務商，雲主機通常會同時分配：

公網IP：用於對外提供服務

內網IP / 私有IP（VPC）：用於內部網路通訊



論壇後端（如 PHP、Nginx、管理後台）在顯示使用者來源IP時，若未經設定，可能會顯示內網IP而非真實的公網IP，導致日誌分析、防護機制、使用者管理等功能異常

因此，需透過網路介面與NAT規則設定，確保對外服務的IP正確對應



----------------------------
啟用 IP 轉發 (IPv4)
----------------------------

建立配置文件（只需執行一次）

這4行一起複製貼上

cat > /etc/sysctl.d/99-ipforward.conf <<EOF
net.ipv4.ip_forward = 1
EOF
sysctl --system




------------
驗證IP轉發
------------


應顯示 net.ipv4.ip_forward = 1
sysctl net.ipv4.ip_forward


若未啟用轉發，NAT 完全無效









----------------------------------------
建立 nftables NAT 規則 (核心)
----------------------------------------

建立存放目錄
mkdir -p /etc/nftables

建立規則集檔案

vi /etc/nftables/90-nat-vpc.nft

貼入 NAT 規則

90-nat-vpc.nft

儲存檔案並離開vi編輯器

按 Esc，輸入 :wq，按 Enter

請先執行 ip link show 確認你的網卡名稱，eth0 為網卡名稱
ip link show




-----------------------------
載入規則並設定永久生效
-----------------------------


chmod 600 /etc/nftables/90-nat-vpc.nft


nft -f /etc/nftables/90-nat-vpc.nft

-----------------

建立管理腳本

-----------------

建立管理腳本 (方便 start/stop/restart)

vi /usr/local/bin/nft-nat-vpc.sh

貼入以下內容

nft-nat-vpc.sh

請填入你的IP

儲存檔案並離開vi編輯器

按 Esc，輸入 :wq，按 Enter

-------------
賦予權限
-------------

chmod 700 /usr/local/bin/nft-nat-vpc.sh


測試
/usr/local/bin/nft-nat-vpc.sh start



-----------------------------------
開機自動載入 (systemd 服務)
-----------------------------------

建立
vi /etc/systemd/system/nft-nat-vpc.service



貼上內容


[Unit]
Description=nftables VPC NAT for Real IP (IPv4+IPv6)
After=nftables.service network-online.target
Wants=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/nft-nat-vpc.sh start
ExecStop=/usr/local/bin/nft-nat-vpc.sh stop
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target





儲存檔案並離開vi編輯器
按 Esc，輸入 :wq，按 Enter



-----------------
開機啟用
-----------------


systemctl daemon-reload


systemctl enable nft-nat-vpc.service


systemctl start nft-nat-vpc.service

本帖最后于11小时前11小时，由Jack编辑