sudo iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --dport 8080 -j DNAT --to-destination 192.168.0.2:80
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sudo sysctl -p
sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
ip route add IP_ВНЕШНЕГО_СЕРВЕРА via IP_ДОМАШНЕГО_РОУТЕРА
ip route del default via IP_ДОМАШНЕГО_РОУТЕРА
ip route add default dev ИНТЕРФЕЙС_VPN
# или так:
#ip route add default via IP_ВНЕШНЕГО_СЕРВЕРА_ВНУТРИ_VPN
# снаружи прилетает пакет - заменяем ему получателя на домашний сервер
iptables -t nat -A PREROUTING -p tcp --dport 12345 -d ВНЕШНИЙ_IP_СЕРВЕРА -j DNAT --to IP_ДОМАШНЕГО_ВНУТРИ_VPN:12345
# от домашнего сервера прилетает пакет - в конце маршрутизации меняем ему IP источника,
# чтобы казалось, что его отправил внешний сервер
iptables -t nat -A POSTROUTING -s IP_ДОМАШНЕГО_ВНУТРИ_VPN -o ВНЕШНИЙ_ИНТЕРФЕЙС_СЕРВЕРА -j SNAT --to ВНЕШНИЙ_IP_СЕРВЕРА
iptables -t nat -A PREROUTING -p tcp --dport 25565 -d 91.206.14.207 -j DNAT --to 192.168.168.10:25565
iptables -t nat -A POSTROUTING -s 192.168.168.10 -o inet0 -j SNAT --to 91.206.14.207
inet0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 2c:f0:5d:04:d6:0d brd ff:ff:ff:ff:ff:ff
inet 91.206.14.207/24 brd 91.206.14.255 scope global inet0
valid_lft forever preferred_lft forever
inet6 fe80::2ef0:5dff:fe04:d60d/64 scope link
valid_lft forever preferred_lft forever
- правильно ли всё? net.ipv4.ip_local_port_range = 8192 65535
net.netfilter.nf_conntrack_generic_timeout = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 600
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 45
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.netfilter.nf_conntrack_icmpv6_timeout = 30
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_checksum=0
net.netfilter.nf_conntrack_max = 3145728
options nf_conntrack hashsize=1572864
net.netfilter.nf_conntrack_generic_timeout=60
net.netfilter.nf_conntrack_icmp_timeout=10
#net.netfilter.nf_conntrack_tcp_timeout_close=10
net.netfilter.nf_conntrack_tcp_timeout_close_wait=20
net.netfilter.nf_conntrack_tcp_timeout_established=600
net.netfilter.nf_conntrack_tcp_timeout_fin_wait=30
#net.netfilter.nf_conntrack_tcp_timeout_last_ack=30
#net.netfilter.nf_conntrack_tcp_timeout_max_retrans=300
net.netfilter.nf_conntrack_tcp_timeout_syn_recv=30
net.netfilter.nf_conntrack_tcp_timeout_syn_sent=60
net.netfilter.nf_conntrack_tcp_timeout_time_wait=60
#net.netfilter.nf_conntrack_tcp_timeout_unacknowledged=300
#net.netfilter.nf_conntrack_udp_timeout=30
net.netfilter.nf_conntrack_udp_timeout_stream=60
net.netfilter.nf_conntrack_max = 544145728
дальше прописал:
echo "155524608" > /sys/module/nf_conntrack/parameters/hashsize
- теперь после атаки ram забилась до " 1.3G-1.8G"
echo net.core.default_qdisc = fq >> /etc/sysctl.conf
echo net.ipv4.tcp_congestion_control = bbr >> /etc/sysctl.conf