Как пробросить 25-й порт используя SSH-туннель?

Question

[Th3_Fox]

Доброго времени суток, прошу прощения за такой вопрос, но хотел бы узнать, возможно ли пробросить 25 порт с vps, на котором не заблокирован данный порт, на vps, где он заблокирован, используя SSH туннель?

В данный момент использую wireguard, но мне не нравится данное решение, так как весь трафик проходит только через этот vpn, что не очень ради одного 25 порта.

Заранее благодарю за помощь.

Comments

[Drno]

а зачем весь трафф, когда можно iptables переадресовать только 25й порт?

[Th3_Fox]

Drno, Вы имеете ввиду это? - iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 2525 -j REDIRECT --to-port 25

[Sand]

Возможно, но правильнее использовать механизмы почтового сервера

[ValdikSS]

В данный момент использую wireguard, но мне не нравится данное решение, так как весь трафик проходит только через этот vpn, что не очень ради одного 25 порта.

Так не маршрутизируйте весь трафик, а настройте маршрутизацию только 25 порта. В Linux это делается стандартными средствами маршрутизации:

sudo ip route add default dev wg0 table 100
sudo ip rule add ipproto tcp dport 25 table 100

Answer 1

[ValdikSS]

Чтобы маршрутизировать порт 25 через SSH-туннель, нужно:

1. Запустить туннель с SOCKS-портом: ssh -D 12345 user@host;
   
2. Настроить соксификатор, например, redsocks или v2ray;
   
3. Настроить правила iptables/nftables для перенаправления исходящих TCP-запросов на порт 25 к порту соксификатора.
   

Гораздо проще, надёжнее и технически корректнее настроить маршрут через VPN, тем более, что WireGuard у вас уже есть:

sudo ip route add default dev wg0 table 100
sudo ip rule add ipproto tcp dport 25 table 100

Comments

[Th3_Fox]

Благодарю за данное решение:)

[Th3_Fox]

Сегодня попробовал прописать данные правила для 22 порта, но почему-то мне не удается подключиться по ip vpn после этого. Что можно сделать и что я делаю не так?
Прописал в конфиге клиента (wg0.conf):

Table = 100
PostUp = ip rule add ipproto tcp dport 22 table 100
PreDown = ip rule delete ipproto tcp dport 22 table 100

ip rule show выдает следующее:
32765: from all ipproto tcp dport 22 lookup 100

ip route show table 100:
default dev wg0 scope link

[ValdikSS]

Th3_Fox, вероятно, вы перепутали порт, он должен быть 25.
Если речь действительно про порт 22, то с входящими подключениями не всё так просто: ваш компьютер отправляет пакет на сервер, но правило маршрутизации направляет исходящий ответ через VPN, и ответный пакет либо не доставляется, либо отбрасывается вашим компьютером из-за несовпадения адресов запроса и источника.
Полноценная настройка сложнее: необходимо либо маркировать UDP/TCP-сессию средствами iptables/nftables и настраивать таблицы маршрутизации на основе меток, либо, как вариант, добавить правило с sport 22 через таблицу VPN, но в таком случае вы сможете подключаться к серверу только через VPN-адрес.

Альтернативный вариант: добавить маршрут по умолчанию и через интернет-интерфейс, и через VPN-интерфейс, с разными метриками, а SSH-демон настроить на прослушивание конкретных интерфейсов. Но это не имеет отношения к почте.

Answer 2

[Виктор Голованенко]

Возможно, вам поможет Fast reverse proxy (frp): https://github.com/fatedier/frp

Comments

[Th3_Fox]

Интересный вариант, благодарю;)