Как прокинуть входящий UDP порт Wireguard docker на Ubuntu?

Question

[WebAirStudio]

Здравствуйте. Хочу открыть и прокинуть UDP 3658
Раньше использовал OpenVPN без Docker и просто делал так:

iptables -t nat -A PREROUTING -d 85.193.94.176 -p udp --dport 3658 -j DNAT --to-dest 10.8.0.2:3658
iptables -t filter -A INPUT -p udp -d 10.8.0.2 --dport 3658 -j ACCEPT

Но перешел на Wireguard GUI (wg-easy) правила предыдущие не помогают, так как через Docker.

Интерфейсы:

IPv4 address for docker0: 172.17.0.1
IPv4 address for eth0:    85.193.94.176

iptables -S

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p tcp -m tcp --dport 51821 -j ACCEPT
-A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p udp -m udp --dport 51820 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN

VPN профиль всё так же на 10.8.0.2, но не отображается в списке интерфейсов ubuntu, так как в докере, как я понимаю.

P.S. Это для NFS Underground, не смейтесь ) Возможности использовать белый IP нет.

Answer 1

[chupasaurus]

Добавьте ещё один порт в пробрасываемые контейнеру
-p 3658:3658/udp \
А в самом контейнере надо после каждого его старта/рестарта добавлять правило iptables:

sudo nsenter -n -t $(docker inspect -f '{{.State.Pid}}' wg-easy) iptables -t nat -A PREROUTING -d $(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' wg-easy) -p udp --dport 3658 -j DNAT --to-dest 10.8.0.2:3658
sudo nsenter -n -t $(docker inspect -f '{{.State.Pid}}' wg-easy) iptables -t filter -A INPUT -p udp -d 10.8.0.2 --dport 3658 -j ACCEPT

Правила можно собрать в один шелл скрипт и запускать его одной командой.
P.S. NFS Underground 2 очень плохо себя вёл при джиттере.

Comments

[WebAirStudio]

Сделал по аналогии с существующим правилом (может быть оно и не нужно?)

iptables -A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p udp -m udp --dport 3658 -j ACCEPT

Потом пересоздал контейнер с параметром
-p 3658:3658/udp \

Потом

sudo nsenter -n -t $(docker inspect -f '{{.State.Pid}}' wg-easy) iptables -t nat -A PREROUTING -d $(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' wg-easy) -p udp --dport 3658 -j DNAT --to-dest 10.8.0.2:3658
sudo nsenter -n -t $(docker inspect -f '{{.State.Pid}}' wg-easy) iptables -t filter -A INPUT -p udp -d 10.8.0.2 --dport 3658 -j ACCEPT

В итоге:

netstat -tulpn | grep docker-proxy
tcp        0      0 0.0.0.0:51821           0.0.0.0:*               LISTEN                                       21224/docker-proxy
tcp6       0      0 :::51821                :::*                    LISTEN                                       21229/docker-proxy
udp        0      0 0.0.0.0:3658            0.0.0.0:*                                                            21262/docker-proxy
udp        0      0 0.0.0.0:51820           0.0.0.0:*                                                            21243/docker-proxy
udp6       0      0 :::3658                 :::*                                                                 21267/docker-proxy
udp6       0      0 :::51820                :::*                                                                 21248/docker-proxy

docker ps -a
CONTAINER ID   IMAGE              COMMAND                  CREATED         STATUS         PORTS                                                                                                                                     NAMES
6d0dc61f0533   weejewel/wg-easy   "docker-entrypoint.s…"   6 minutes ago   Up 6 minutes   0.0.0.0:3658->3658/udp, :::3658->3658/udp, 0.0.0.0:51820->51820/udp, :::51820->51820/udp, 0.0.0.0:51821->51821/tcp, :::51821->51821/tcp   wg-easy

Вроде ок, так как в Wireshark пакет приходит. Буду тестировать, благодарю!

[chupasaurus]

Правило в таблицу docker напишет сам docker

[kema_16]

Если не сложно, пожалуйста, дайте последовательность команд, для проброса порта, не совсем понял, что именно нужно делать, а что нет. Ситуация аналогичная, тоже WG на VPS сервере, незнаю как прокинуть порт 37890 с внешника VPS на локальный адрес 10.8.0.3 внутри WG тунеля.
И еще, подскажите пожалуйста, если например, понадобится еще какой либо порт прокинуть, то нужно повторить всю последовательность действий, или часть команд? Спасибо!
P. S. docker имеет такой же ip 172.17.0.1, вообще в целом, ситуация схожая.

[chupasaurus]

kema_16, меняете номер порта с 3658 на нужный в 2 кусках кода. В первом каждый порт добавляется параметр при создании контейнера, второй - скрипт по 2 строки на порт.
P.S. Код который надо запускать после рестарта сервера сам ходит в docker за адресом контейнера.

[kema_16]

chupasaurus, Каджый раз, всё проделывать заново, когда нужно еще порт прокинуть?

Этот код не нужен? "iptables -A DOCKER -d 172.17.0.2/32 ! -i docker0 -o docker0 -p udp -m udp --dport 3658 -j ACCEPT"

Я смог настроить всё, только не всё понял, что и как работает. И что необходимо, а что нет. Код из двух строк записал в скрипт и сделал автозапуск через cron, иначе проброс после перезагрузки не работал.

[chupasaurus]

kema_16, да, для добавления ещё одного порта надо пересоздавать контейнер.
Такая строчка не нужна, т.к. её сам docker делает.