我有两台通过 WireGuard 连接的服务器：一台本地服务器（server1，WireGuard IP 10.0.0.2）和一台云服务器（server0，WireGuard IP 10.0.0.1）。我的目标是将其用作server0网关来访问服务，server1而无需暴露本地服务器的公共 IP。例如，server1应该可以通过 SSH 访问server0:2222。

设置详细信息：

1. WireGuard 配置：

   • 隧道已正常运行（已通过 验证）。ssh -p 2222 [email protected]serve0r
   • server0并server1使用 iptables 转发流量。

2. IPTables 规则：

   • DNAT/MASQUERADE 规则：

# For TCP 
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.0.0.2:2222 
iptables -t nat -A POSTROUTING -o wg0 -p tcp -d 10.0.0.2 --dport 2222 -j MASQUERADE

# For UDP (if needed) 
iptables -t nat -A PREROUTING -p udp --dport 2222 -j DNAT --to-destination 10.0.0.2:2222 
iptables -t nat -A POSTROUTING -o wg0 -p udp -d 10.0.0.2 --dport 2222 -j MASQUERADE 

2. • 当前 NAT 表：

Chain PREROUTING (policy ACCEPT)
target     prot opt source    destination         
DNAT       tcp  --  anywhere anywhere tcp dpt:2222 to:10.0.0.2:2222
DNAT       udp  --  anywhere anywhere udp dpt:2222 to:10.0.0.2:2222

Chain POSTROUTING (policy ACCEPT)
target        prot opt source      destination         
MASQUERADE    all  --  anywhere    anywhere            
MASQUERADE    all  --  anywhere    anywhere            
MASQUERADE    tcp  --  anywhere    10.0.0.2 tcp dpt:2222
MASQUERADE    udp  --  anywhere    10.0.0.2 udp dpt:2222

3. SSH 配置：

   • server1监听0.0.0.0:2222（已在 中确认sshd_config）。

4. 内核转发：

   • net.ipv4.ip_forward=1已启用并应用。

问题：

ssh -p 2222 user@<server0-public-ip>通过进行外部连接会导致连接被拒绝。但是，直接从 进行连接则server0可以10.0.0.2:2222。

故障排除完成：

1. 验证 WireGuard 连接（成功）。
2. 检查iptables -t nat规则（看起来正确）。
3. 已确认 SSH 正在监听server1。

疑似问题：

1. IPTables 过滤表：FORWARD即使在 NAT 规则之后，该链也可能阻止流量。
2. MASQUERADE 规则：冗余或配置错误的POSTROUTING规则。

问题：

1. 是否缺少允许接口之间（iptables例如到）流量的过滤规则（例如链）？FORWARDeth0wg0
2. 这些规则是否MASQUERADE正确处理返回流量的源 NAT？

任何见解都将不胜感激！