Как правильно настроить port forwarding с помощью iptables?

Question

[Jhon Do]

Провайдер не предоставляет белый ip адрес, но нужен был доступ к web интерфейсу расположенному в домашней сети. Поэтому решено было купить vds, c помощью wireguard организовать туннель до компьютера дома, а на сервере задействовать форвардинг портов. На сервере были задействованы следующие правила iptables:

~# iptables-save
# Generated by iptables-save v1.8.7 on Thu Oct  6 18:42:19 2022
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24918:26019366]
-A INPUT -i eth0 -p udp -m udp --dport <wireguard_port> -j ACCEPT
-A INPUT -i wg0 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j DROP
-A FORWARD -i wg0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o wg0 -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Thu Oct  6 18:42:19 2022
# Generated by iptables-save v1.8.7 on Thu Oct  6 18:42:19 2022
*nat
:PREROUTING ACCEPT [1833:131264]
:INPUT ACCEPT [1240:59269]
:OUTPUT ACCEPT [77:6435]
:POSTROUTING ACCEPT [57:2848]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination <home_ip_inside_wireguard>
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT


eth0 - внешний интерфейс с постоянным ip
wg0  - виртуальный  интерфейс wireguard

Если все устройства находятся внутри wireguard все работает, а вот если из интернета обратиться на ip vds, то нет.

Comments

[Drno]

NAT влючен?

а вот для это интерфейса WG ? - -A POSTROUTING -o wg0 -j MASQUERADE

у Вас же вот это правило не в интерфейс eth0 уходит... а в интерфейс WG

-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination

и точно ли он назван не не tun0 в системе?

[Valentin Barbolin]

Есть vpn которому не нужен белый адрес и vps соответственно.
Zerotier
Twingate

[Valentin Barbolin]

ПРОБРОС ПОРТОВ В IPTABLES

Первое что нужно сделать, это включить переадресацию трафика на уровне ядра, если это еще не сделано. Для этого выполните:

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

Чтобы настройка сохранялась после перезагрузки используйте такую команду:

sudo sysctl -w net.ipv4.ip_forward=1

У тебя во всех цепочках по дефолту все разрешено, остальные правила не имеют смысла)
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24918:26019366]

Достаточно только этого правила
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination home_ip_inside_wireguard
-A POSTROUTING -o eth0 -j MASQUERADE

[Alexey Dmitriev]

Andrey Barbolin, более того, для доступа к серверу -A POSTROUTING -o eth0 -j MASQUERADE тоже не нужен.

[Valentin Barbolin]

Alexey Dmitriev,
WEB сервер при такой схеме проброса будет видеть реальный IP адрес клиена. Как должен вернуться ответ клиенту без MASQUERADE?

[Alexey Dmitriev]

Andrey Barbolin, обратные пакеты от веб сервера (ответы на запросы снаружи) не попадут в POSTROUTING.
Только новые пакеты от веб сервера, если он решит что-то спросить в Интернете самостоятельно.

Answer 1

[Алексей Черемисин]

Оох... Уже лет 10 как не пришу правила iptables вручную. В любом дистрибутиве полно хелперов для написания правил. Ибо, корга ручками пишешь, кучу всего забываешь, можно как кирпич получить, так и такую дырень оставить, что охренеть.
Порекомендую некоторые:
- ufw - для ubuntu
- firewalld - для redhat/fedora/ubuntu...
- sorewall - для всего, очень мощный

Ну а я обожаю firehol, простой мощный, быстрый, очень компактный конфиг.

А по хорошему, пора уже переходить на nftables!

Comments

[V N]

Алексей Черемисин Подскажите хороший мануал для firehol

[Алексей Черемисин]

V N, так документация же есть официальная, там и примеры firehol.org