主页 / computer / 问题 / 1873567
Accepted
WahyuG
Asked: 2025-01-28 21:24:10 +0800 CST

如何结合 DNAT 和 SNAT 将端口转发至 Wireguard 隧道?

  • 772

我需要通过 Wireguard 隧道转发来自 VPS 的端口,但允许 IP 数量有限。此隧道不接受 0.0.0.0/0,只接受 10.xxx/24。因此,我不仅需要 DNAT,还需要 SNAT 来更改源 IP,以便允许数据包进入隧道。

您能提供一个 iptables 代码片段吗?或者任何其他转发流量的方法。

DNAT 不起作用:Wireguard 隧道后面的目标主机不接收数据包(使用 python3 -m http.server 和 tcpdump 测试)。

iptables

2 个回答

  1. 基本 NAT(例如将“内部”源 IP 隐藏在 NAT 后面)需要 SNAT 规则:

    # masquerade all outgoing packets to be eth0 IP
iptables -t nat -A PREROUTING -s 10.0.0.1 -i eth0 -j MASQUERADE
# All packets leaving wg0 will have src wg0 ip address
iptables -t nat -A POSTROUTING -o wg0 -j SNAT --to 192.168.1.1

    为了将端口转发到“外部”目的地,您需要一个 DNAT 规则:

    # packets received on eth0 get forwarded to destination across wg0
iptables -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -d 10.0.0.1 -j DNAT --to-destination 192.168.1.3:443
    • 0
  2. Best Answer

    实际上,这个问题的解决方案相当复杂:https://www.procustodibus.com/blog/2023/11/wireguard-port-forward-from-internet-multi-hop/#connection-marking

    我决定不使用它,因为它很难维护。

    该技术分为六个步骤:

    设置自定义路由表:通过在 WireGuard 配置的 [Interface] 部分添加表设置来执行此操作(在下面的示例中,表号为 123)。

    放松源地址验证:如果私服的net.ipv4.conf.all.rp_filter内核参数设置为1(严格),则需要将WireGuard接口的rp_filter值设置为2(宽松)。

    标记新连接:使用防火墙规则执行此操作,该规则在通过 WireGuard 接口进入的所有新连接上设置连接标记(在下面的示例中,使用标记值 1)。

    标记返回数据包:使用防火墙规则执行此操作,该规则仅将连接标记复制到传出数据包(在下面的示例中,使用 iptables 规则忽略通过 WireGuard 接口传入的数据包,但在其他方面匹配属于现有连接标记值为 1 的连接的数据包)。

    添加策略路由规则:使用此规则匹配标记的数据包,并使用自定义表对其进行路由。

    设置自定义默认路由:将 WireGuard 配置中公共服务器的 [Peer] 部分中的 AllowedIPs 设置更改为包含所有 Internet 地址(对于 IPv4,为 0.0.0.0/0);这将成为自定义路由表的默认路由。

    • -2

相关问题