主页 / server / 问题 / 1067746
Accepted
Asmodean
Asked: 2021-06-25 10:44:38 +0800 CST

使用wireguard进行端口转发

  • 772

使用 qbittorrent 和 airdcpp 等应用程序共享文件。它们都需要转发一些端口才能“可连接”。

在家庭连接中,我会进入路由器设置192.168.1.1,然后转发端口,例如。56000到我电脑的本地 IP 地址:192.168.1.124. 并且服务会正常工作。

后来在 Linode VPS 上设置了wireguard,希望我可以通过 vpn 访问它并屏蔽我的 IP。但是当我这样做时,当我去像https://whoer.net这样的地方时,我的 IP 地址会改变。但是使用的端口,例如。 56000未转发,因此应用程序不可“连接”。

为了让 VPS 像我的家庭路由器一样转发这些端口,我需要在 iptables 中添加哪些内容?

端口在活动 VPS防火墙56000中设置为。allowufw

非常感谢您的关注。

这就是我的 VPS wireguard conf 的样子:

Address = 10.66.66.1/24,fd42:42:42::1/64
ListenPort = 49503
PrivateKey = ***


[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 10.66.66.2/32,fd42:42:42::2/128
port-forwarding wireguard

1 个回答

  1. Best Answer

    由于您使用的是 UFW,首先确保56000您添加的端口的 UFW 规则不是常规输入规则,而是“路由”(又名转发)规则,如下所示(假设它用于 TCP 端口;tcp替换udp为UDP):

    ufw route allow proto tcp to 10.66.66.2 port 56000

    然后,对于要转发的每个端口,您都需要一个像这样的 iptables 规则(eth0WAN 接口的名称在哪里):

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 56000 -j DNAT --to-destination 10.66.66.2

    如果您有一堆要转发的单个端口,您可以使用模块的--dports标志(注意s)将它们全部(最多 15 个端口)放在同一规则中multiport

    iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 123,456,789 -j DNAT --to-destination 10.66.66.2

    而且由于您使用的是 UFW,因此您可能希望将PREROUTING规则放在配置文件的*nat块中/etc/ufw/before.rules,如下所示(假设您可能已经有与POSTROUTING规则类似的内容):

    # /etc/ufw/before.rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 56000 -j DNAT --to-destination 10.66.66.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

    如果您的文件中还没有*nat/etc/ufw/before.rules,请将其添加到文件末尾。进行更改后重新启动 UFW。

    • 3

相关问题