Início / user-1243967

MagoLione's questions

Martin Hope
MagoLione
Asked: 2025-03-16 23:12:11 +0800 CST
  • 4

Tenho dois servidores conectados via WireGuard: um servidor local ( server1, WireGuard IP 10.0.0.2) e um servidor em nuvem ( server0, WireGuard IP 10.0.0.1). Meu objetivo é usar server0como um gateway para acessar serviços server1sem expor o IP público do servidor local. Por exemplo, SSH para server1deve ser acessível via server0:2222.

Detalhes da configuração:

  1. Configuração do WireGuard:

    • O túnel está funcional (verificado via ) .ssh -p 2222 [email protected]serve0r
    • server0e server1usar iptables para encaminhar tráfego.

  2. Regras do IPTables:

    • Regras do DNAT/MASQUERADE:
# For TCP 
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.0.0.2:2222 
iptables -t nat -A POSTROUTING -o wg0 -p tcp -d 10.0.0.2 --dport 2222 -j MASQUERADE

# For UDP (if needed) 
iptables -t nat -A PREROUTING -p udp --dport 2222 -j DNAT --to-destination 10.0.0.2:2222 
iptables -t nat -A POSTROUTING -o wg0 -p udp -d 10.0.0.2 --dport 2222 -j MASQUERADE
    • Tabela NAT atual:
Chain PREROUTING (policy ACCEPT)
target     prot opt source    destination         
DNAT       tcp  --  anywhere anywhere tcp dpt:2222 to:10.0.0.2:2222
DNAT       udp  --  anywhere anywhere udp dpt:2222 to:10.0.0.2:2222

Chain POSTROUTING (policy ACCEPT)
target        prot opt source      destination         
MASQUERADE    all  --  anywhere    anywhere            
MASQUERADE    all  --  anywhere    anywhere            
MASQUERADE    tcp  --  anywhere    10.0.0.2 tcp dpt:2222
MASQUERADE    udp  --  anywhere    10.0.0.2 udp dpt:2222

  1. Configuração SSH:

    • server1escuta em 0.0.0.0:2222(confirmado em sshd_config).

  2. Encaminhamento do Kernel:

    • net.ipv4.ip_forward=1está habilitado e aplicado.

Emitir:

Conectar-se externamente via ssh -p 2222 user@<server0-public-ip>resulta em Conexão recusada . No entanto, conectar-se diretamente de server0para 10.0.0.2:2222funciona.

Solução de problemas concluída:

  1. Conectividade WireGuard verificada (bem-sucedida).
  2. Regras verificadas iptables -t nat(parecem corretas).
  3. O SSH confirmado está escutando em server1.

Problemas suspeitos:

  1. Tabela de filtros IPTables : A FORWARDcadeia pode bloquear o tráfego mesmo após regras NAT.
  2. Regras do MASQUERADE : Regras redundantes ou mal configuradas POSTROUTING.

Questões:

  1. Existem iptablesregras de filtro ausentes (por exemplo, FORWARDcadeia) permitindo tráfego entre interfaces (por exemplo, eth0para wg0)?
  2. As MASQUERADEregras estão tratando corretamente o NAT de origem para o tráfego de retorno?

Qualquer informação será bem-vinda!

ubuntu