Iptables

帶 iptables 的直通 VPN 隧道

  • December 20, 2021

我的電子郵件 VPS 已經到了極限,但它的專用 IP 得到了很好的培養,我就是不能放棄它。我正在嘗試設置一個測試環境,在該環境中,我在 VPS 上建立了一個 VPN 伺服器,只是為了將傳入和傳出流量傳遞回 VM,目的是使用 VPS 上的外部 IP 進行所有 Internet 通信,同時將該流量通過隧道返回到一個虛擬機。我的麻煩在於 iptables。我無法弄清楚這一點,我確定這只是我在這種程度上缺乏使用 iptables 的知識。我的 VPS 和 VM 都在執行 Debian 10。

我嘗試了一些不同的規則變體,這些變體是從這裡的各種文章中找到的。

變化(我在使用這些規則時更改了適配器名稱和埠)

iptables -A FORWARD -m conntrack --ctstate NEW -s $PRIVATE_SUBNET -m policy --pol none --dir in -j ACCEPT
iptables -t nat -A POSTROUTING -s $PRIVATE_SUBNET -m policy --pol none --dir out -j MASQUERADE
iptables -A INPUT -p udp --dport $SERVER_PORT -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wg0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS

我也嘗試過編寫自己的規則,但即使在觀看了一些很棒的教程影片之後,這些影片涵蓋的內容不僅僅是過濾表。我似乎對交通如何流動沒有正確的心理畫面。

另外因為我想從 VPN 伺服器接收新流量,我知道我必須對“客戶端”VM 上的 iptables 進行更改,這很可能也是我的問題所在。我希望有人能闡明一些我可能缺少的基本概念來解決這個難題。

如果我沒記錯的話,進來的數據包的“流程”是:

標題重寫圖

我已經在一些 EC2 實例上對此進行了測試:一個公共實例和一個私有實例。兩者都使用簡單的網頁執行 apache,一個說“網關”,一個說“節點”。

在添加 IP 表規則之前,我可以捲曲一個簡單的網頁,它正確地顯示它來自我的“網關”實例。然後我在網關上執行以下操作:

echo 'net.ipv4.ip_forward = 1' | sudo tee /etc/sysctl.d/10-forwarding.conf
sudo sysctl -w net.ipv4.ip_forward=1

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.100.154
sudo iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -p tcp --dport 80 -j SNAT --to 10.0.0.160

這使我可以捲曲公共 IP,將其 NAT 到目標內部 VM 並正確轉發/NAT 以進行響應。我已經設置了沒有任何外部路由的私有子網,所以除非它路由到內部範圍,否則它不會去任何地方。它按預期工作!

如果您有多個介面,那麼您應該能夠通過添加一些規則來FORWARD更好地鎖定規則,並使用.-i eth0 -o wg0``POSTROUTING``-o wg0

所以我認為你的規則應該是:

# dnat to target VPN VM
iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 80,443 -j DNAT --to-destination $WIREGUARD_CLIENT_ADDRESS

# forward between interfaces for new conns
iptables -A FORWARD -i eth0 -o wg0 -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW -j ACCEPT
# allow forwarding related traffic - no need for both sets of -i/-o as we can just allow related
iptables -A FORWARD -m state ESTABLISHED,RELATED -j ACCEPT

# postrouting for VPN
iptables -t nat -A POSTROUTING -o wg0 -p tcp -m multiport --dports 80,443 -j MASQUERADE

引用自:https://serverfault.com/questions/1087752