帶 iptables 的直通 VPN 隧道
我的電子郵件 VPS 已經到了極限,但它的專用 IP 得到了很好的培養,我就是不能放棄它。我正在嘗試設置一個測試環境,在該環境中,我在 VPS 上建立了一個 VPN 伺服器,只是為了將傳入和傳出流量傳遞回 VM,目的是使用 VPS 上的外部 IP 進行所有 Internet 通信,同時將該流量通過隧道返回到一個虛擬機。我的麻煩在於 iptables。我無法弄清楚這一點,我確定這只是我在這種程度上缺乏使用 iptables 的知識。我的 VPS 和 VM 都在執行 Debian 10。
我嘗試了一些不同的規則變體,這些變體是從這裡的各種文章中找到的。
變化(我在使用這些規則時更改了適配器名稱和埠)
iptables -A FORWARD -m conntrack --ctstate NEW -s $PRIVATE_SUBNET -m policy --pol none --dir in -j ACCEPT iptables -t nat -A POSTROUTING -s $PRIVATE_SUBNET -m policy --pol none --dir out -j MASQUERADE iptables -A INPUT -p udp --dport $SERVER_PORT -j ACCEPT iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS我也嘗試過編寫自己的規則,但即使在觀看了一些很棒的教程影片之後,這些影片涵蓋的內容不僅僅是過濾表。我似乎對交通如何流動沒有正確的心理畫面。
另外因為我想從 VPN 伺服器接收新流量,我知道我必須對“客戶端”VM 上的 iptables 進行更改,這很可能也是我的問題所在。我希望有人能闡明一些我可能缺少的基本概念來解決這個難題。
如果我沒記錯的話,進來的數據包的“流程”是:
我已經在一些 EC2 實例上對此進行了測試:一個公共實例和一個私有實例。兩者都使用簡單的網頁執行 apache,一個說“網關”,一個說“節點”。
在添加 IP 表規則之前,我可以捲曲一個簡單的網頁,它正確地顯示它來自我的“網關”實例。然後我在網關上執行以下操作:
echo 'net.ipv4.ip_forward = 1' | sudo tee /etc/sysctl.d/10-forwarding.conf sudo sysctl -w net.ipv4.ip_forward=1 sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.100.154 sudo iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT sudo iptables -t nat -A POSTROUTING -p tcp --dport 80 -j SNAT --to 10.0.0.160這使我可以捲曲公共 IP,將其 NAT 到目標內部 VM 並正確轉發/NAT 以進行響應。我已經設置了沒有任何外部路由的私有子網,所以除非它路由到內部範圍,否則它不會去任何地方。它按預期工作!
如果您有多個介面,那麼您應該能夠通過添加一些規則來
FORWARD更好地鎖定規則,並使用.-i eth0 -o wg0``POSTROUTING``-o wg0所以我認為你的規則應該是:
# dnat to target VPN VM iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS # forward between interfaces for new conns iptables -A FORWARD -i eth0 -o wg0 -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW -j ACCEPT # allow forwarding related traffic - no need for both sets of -i/-o as we can just allow related iptables -A FORWARD -m state ESTABLISHED,RELATED -j ACCEPT # postrouting for VPN iptables -t nat -A POSTROUTING -o wg0 -p tcp -m multiport --dports 80,443 -j MASQUERADE
