Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     


    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     


    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)

  • Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Ну, не совсем так, он может уйти и в другой тоннель, но на VPS ему надо прийти и с нужным src:port. Так что в частном случае ответ — да, обязательно.
     
    На машинах обрабатывающих запросы можно настроить "ответ в тот же интерфейс" — в шапке темы есть ссылка на LARTC "документ", конкретно Вам надо прочитать, осознать и повторить пример почти пошагово — https://lartc.org/lartc.html#AEN267

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 22:14 13-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    "ответ в тот же интерфейс"

    Это поможет в случае, если я настрою wireguard-client (IP 10.8.1.4) не на маршрутизаторе сети 192.168.1.0/24, а на клиенте debian (192.168.1.5) - верно же я понимаю?  
     
    П.с. Завтра почитаю и попытаюсь повторить, сейчас полночь уже - мозг уснул, пойду и я...  

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 22:23 13-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    упс, я забыл что тоннель не на машине, а не маршрутизаторе, кстати точно ли так лучше в Вашей ситуации?
     
    вообще я чёт подумал что, с учётом того, что wg уже использует отдельную таблицу для маршрутизации и помечает свякое для своих соединений, то можно не усложнять жизнь доп таблицами, а просто промаркать нужные пакеты и вернуть их в wg0.
     
     
    p.s. тогда завтра набросайте какую-то схему, потому что устройств уже стало слишком много что бы словами описывать, а интерфейсов у них с учётом виртуальных и подавно многовато стало для беседы.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 22:51 13-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    кстати точно ли так лучше в Вашей ситуации?

    Основной туннель важен т.к. доступ через него не только к этой станции. Как вариант могу поднять туннель ещё один локально на 192.168.1.5. Почитал параграф по вашей ссылке и не уверен, что понял или вернее не понял как он поможет: там назначаются GW в зависимости от IP. Но у меня ip источника запроса может быть рандомный (к примеру мобильное устройство).  
     
    [OFFTOP]У меня есть два одинаковых сервиса, работающих на двух разных компах, в разных местах. Задача, что бы при обращении с любого устройство в интернете запрос пересылался на работающий в данный момент экземпляр сервиса.[/OFFTOP]  
     

    Цитата:
    а просто промаркать нужные пакеты и вернуть их в wg0.

    Подскажите пожалуйста как - я обязательно попробую.
     

    Цитата:
    тогда завтра набросайте какую-то схему

     

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 07:57 14-05-2022 | Исправлено: i81, 08:01 14-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Исходя из схемы и того что было описано ранее Keenetic1 работает без проблем, потому что там "всё" идёт в туннель?
    По Keenetic2, я не знаю как именно там настроен WG туннель, у меня под рукой только wg-quick. wg-quick создаёт сам отдельную таблицу маршрутизации и в самом базовом случае всё что попало бы в default route без туннеля отправляет в туннель. Это так, если по простому на пальцах описать. Но Вы сказали что в туннель идёт не весь трафик. Так что у меня вопрос: покажите вывод команд с keenetick 2:
    ip ru
    ip r
    iptables-save -t mangle

     
     

    Цитата:
    Почитал параграф по вашей ссылке и не уверен, что понял или вернее не понял как он поможет
    Данный пример работает только для указанных случаев, это Ваша ситуация под него не попадает, у вас чистый routing без NAT'а на keenetic для входа в туннель.
    > It will work for all processes running on the router itself, and for the local network, if it is masqueraded.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 11:57 14-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    По Keenetic2, я не знаю как именно там настроен WG туннель

    В WG  туннель на кинетике может идти как весть трафик, так и часть, отдельно заданными сетями - всё делается в web-ui мышкой. На данный момент от 192.168.1.5 в туннель идёт только трафик к 10.8.1.0/24. На сколько я понимаю, что бы всё работало мне нужно отправить обратно в туннель трафик который пришёл с запросом на порт 8080, но я не знаю его ip - он может быть любым.  
     

    Цитата:
    ip ru
    ip r
    iptables-save -t mangle

    web-cli Кинетика не умеет ничего из вышеперечисленного
     
    Я понимаю ситуацию следующим образом:  
    0. Каким-то образом необходимо запросы пришедшие "с мира" через WG-туннель отправлять обратно в туннель.
    Учитывая, что ip отправившего запрос заведомо неизвестен, есть два варианта:
    1. Отправить весь трафик в туннель. (для меня не приемлемо).
    2. Как посоветовали Вы маркировать на входе эти пакеты и отправлять в туннель не по признаку ip, а по наличию маркера. НО учитывая то, что Кинетик - это всё таки не линукс и даже не микротик, то как это сделать в существующей схеме - неизвестно.  Я могу упростить схему - исключить Кинетик - установить WG-туннель на 192.168.1.5, тогда останется только один вопрос: маркировки и маршрутизации маркированных пакетов. Прошу Вас подсказать как настроить такой тип маршрутизации

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 12:25 14-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Если сервис должен работать только через этот самый WG туннель, то можно на Keenetic написать правило жёстко заворачивающее всё с SRC=192.168.1.5 и SPORT=8080
    Звиняюсь как сделать это в Keenetic ui я тоже не до конца представляю.
     
    Касательно маркировки, то я могу изъясняться либо словами, либо в терминах командной строки. В интерфейс webui Keenetic я не полезу.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 12:54 14-05-2022 | Исправлено: Alukardd, 12:56 14-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    В интерфейс webui Keenetic я не полезу.

    Так и не нужно! Выше я написал - я настрою новый WG-Туннель на 192.168.1.5
    Получу новую схему:
       
     

    Цитата:
    в терминах командной строки

    Прошу Вас подсказать команды для маркировки приходящих через WG-Туннель пакетов и отправки в туннель только ответы на пришедшие ранее запросы

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 13:10 14-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть ещё вариант начать NAT'ить на Keenetic пакеты приходящие из wg интерфейса. А с VPS запрос DNAT'ить не на 192.168.1.5 а на 10.8.1.4, а keenetic уже сделает DNAT на 192.168.1.5, тогда у него образуется запись в NAT таблице и ответ сам должен будет уйти в wg туннель.
     
    Ну и как ещё вариант. Поднять wg туннель собственно с самой машины с Debian до VPS и тогда можно будет решать вопрос на Debian'е а не на Keenetic'е.
     
    Добавлено:
    i81
    Так если туннель будет с Debian то можно не париться с метками и прочими маршрутизациями. Просто с VPS DNAT на 10.8.1.5.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 13:13 14-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Так если туннель будет с Debian то можно не париться с метками и прочими маршрутизациями. Просто с VPS DNAT на 10.8.1.5.

    так просто я могу и на Кинетике сделать. Что бы работал dnat мне нужно ВЕСЬ трафик с Debian отправить а туннель - это я знаю как сделать на Кинетике, в моем случае это неприемлемо. Мне нужно в туннель отправить ТОЛЬКО ответы на запросы, приходящие из туннеля. Весь же остальной трафик генерируемый на Debian должен идти через wan кинетика. (Канал на WAN 600 Mbit, на VPS - 100 Mbit)

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 13:28 14-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    так просто я могу и на Кинетике сделать.
    я это тоже написал в том же сообщении же

    Цитата:
    Что бы работал dnat мне нужно ВЕСЬ трафик с Debian отправить а туннель - это я знаю как сделать на Кинетике, в моем случае это неприемлемо
    а вот этого утверждения я не понимаю
    Keenetic сам должен увидеть ответ подходящий под DNAT правило и вернуть ответ в туннель, ни какой трафик кроме ответов можно в туннель дополнительно вообще не отправлять. На Keenetic2 будут 3 правила NAT'а, одно для masquerading на wan2,, второе для masquerading на wg0, а третье DNAT входящего 10.8.1.4:8080 на 192.168.1.5:8080. Маршруты все при этом должны вести через wan2, т.е. не заворачивать ни какие маршруты в тоннель.
     
    Добавлено:
    НО, всё же с wg сессией с самого Debian будет куда проще и не надо вообще ни чего городить. Сервис просто будет слушать, в том числе, и на wg0.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 22:44 14-05-2022 | Исправлено: Alukardd, 22:48 14-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    НО, всё же с wg сессией с самого Debian будет куда проще и не надо вообще ни чего городить.

    да. Подтверждаю! Всё работает по-умолчанию.
    Ещё раз БОЛЬШОЕ Вам СПАСИБО!  
     
    Нет, не подтверждаю.  
    Не работает обращение "с мира" Всё же нужно маркировать.  
    Новая схема:
       
    На данном этапе у меня на Debian2  
    Вот так:

    Код:
    igor@NAS-Deb:~$ ip ru
    0:      from all lookup local
    32766:  from all lookup main
    32767:  from all lookup default


    Код:
    igor@NAS-Deb:~$ ip r
    default via 192.168.1.1 dev enp6s0 proto dhcp metric 100
    10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
    10.8.1.0/24 dev WG-Cl-Amigo proto kernel scope link src 10.8.1.5
    172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
    172.30.32.0/23 dev hassio proto kernel scope link src 172.30.32.1
    192.168.1.0/24 dev enp6s0 proto kernel scope link src 192.168.1.5 metric 100


    Код:
     
    igor@NAS-Deb:~$ sudo iptables-save -t mangle
    # Generated by xtables-save v1.8.2 on Sun May 15 09:58:09 2022
    *mangle
    COMMIT
    # Completed on Sun May 15 09:58:09 2022

     
    В случае подключения на Windows WG-Туннеля то трафик 10.8.1.5:8123 проходит и даже на 11.11.11.11:8080 проходит, но как только туннель на windows отключается (windows идет через интернет) то на 11.11.11.11:8080 уже никак
     
     

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 07:31 15-05-2022 | Исправлено: i81, 07:58 15-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Настройки на Debian сейчас выглядят нормально для описанной задачи. Есть туннель и мы работаем только с его сеткой. Дальше если сервис доступен по 10.8.1.5:8123, то значит он слушает интерфейс WireGuard'а, тоже, что тоже хорошо.
     
    Дальше варианта 2:
     1. на VPS написать iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE (wg0 заменить на имя wg интерфейса)
     2. на Debian NAS сделать ответ с того же интерфейса (то на что я давал ссылку в LARTC):
        echo 200 wg >> /etc/iproute2/rt_tables
        ip rule add from 10.8.1.5 table wg prio 1
        ip route add default via 10.8.1.1 dev WG-Cl-Amigo table wg

     
    Вариант 1 хуже тем, что при нём на Debian NAS теряется ip источника запроса в самом ip пакете.
     
    p.s. вообще исходя из того что я вижу, я начинаю сомневаться что надо было эти вопросы решать на L3 уровне (маршрутизацией), складывается ощущение что это HTTP трафик и на VPS надо было настраивать nginx, а не iptables.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 14:24 15-05-2022 | Исправлено: Alukardd, 14:25 15-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    надо было настраивать nginx

    Да, Вы полностью правы про тип трафика.  
    Я готов к экспериментам и открытиям, если у Вас есть желание - можно попробовать. Правда я не особо понимаю как веб-сервер может помочь в деле пересылке трафика.
     

    Цитата:
    Вариант 1 хуже тем, что при нём на Debian NAS теряется ip источника запроса в самом ip пакете.
     

    Да, вот так работает сервер wireguard на Кинетике - все запросы приходят от ip сервера -тоже не очень нравится
     

    Цитата:
    Дальше варианта 2:

    Попробую чуть позднее - выгнали меня с компа.

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 15:46 15-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    я не особо понимаю как веб-сервер может помочь в деле пересылке трафика
    это уже для другого топика, но суть в том что nginx будет терминировать http соединения, а не просто пакетики перекладывать, так что проксировать он будет от своего имени, а значит запрос на Debian NAS придёт с ip 10.8.1.1, а значит вопрос о том что бы ответ ушёл в wg туннель сам отпадает.
     
    Тема по Nginx тут есть хоть и не очень живая — http://forum.ru-board.com/topic.cgi?forum=8&topic=29288
    В интернете уйма пошаговых инструкций на тему Nginx reverse proxy.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 16:28 15-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
     1. на VPS написать iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE (wg0 заменить на имя wg интерфейса)

    Работает
     

    Цитата:
    2. на Debian NAS сделать ответ с того же интерфейса

    а эти три команды прописываются один раз и на всегда, перезагрузка машны их отменит? Как их отменить, в случае необходимости?
     
    П.с. Вариант №2 не работает.  
    Может важно - получилось команды добавить только после
    Код:
    sudo -i
     
    Если просто sudo перед командой - не хватало доступа
     

    Код:
    igor@NAS-Deb:~$ sudo echo 200 wg >> /etc/iproute2/rt_tables
    -bash: /etc/iproute2/rt_tables: Отказано в доступе
    igor@NAS-Deb:~$ sudo -i
    root@NAS-Deb:~# echo 200 wg >> /etc/iproute2/rt_tables
    root@NAS-Deb:~# ip rule add from 10.8.1.5 table wg prio 1
    root@NAS-Deb:~# ip route add default via 10.8.1.1 dev WG-Cl-Amigo table wg
    root@NAS-Deb:~# exit

     
    Добавлено:
    Alukardd

    Код:
    iptables -t nat -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.8.1.5:8123
    iptables -t nat -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.3.18:8123

    А как посмотреть какое из этих правил сейчас активно (присутствует в цепочке и работает).

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 18:03 15-05-2022 | Исправлено: i81, 18:09 15-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    Работает  
    хорошо

    Цитата:
    а эти три команды прописываются один раз и на всегда, перезагрузка машины их отменит? Как их отменить, в случае необходимости?
    навсегда только первая из них (собственно запись в конфигурационный файл), остальные 2 до ребута ну или пока не удалите правила сами. Прописывать их логично в PostUp действиях поднятия wg туннеля, по скольку именно к нему они и относятся.

    Цитата:
    П.с. Вариант №2 не работает.  
    Может важно - получилось команды добавить только после sudo -i  
    ну, я честно считаю наш диалог немного странным, Вы могли бы и сами потыкаться и прийти с каким-то следующим вопросом, а не просто "не работает". Дебажить через форум — не лучший вариант.
    sudo -— я подразумеваю что настройка системы всегда происходит от имени root'а.
    Что именно там не работает после этих правил так сразу не видно. В анализе Вам помогут всё те же команды
    Код:
    ip a
    ip ru
    ip r
    ss -nlp src :8123

     

    Цитата:
    А как посмотреть какое из этих правил сейчас активно (присутствует в цепочке и работает).  
    iptables -t nat -vnL
    работает то что раньше в цепочке, если пакет подходит под условия срабатывания правила.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 19:37 15-05-2022 | Исправлено: Alukardd, 19:41 15-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Повторное добавление без перезагрузки говорит, что File exists
    Цитата:
    ip a

     

    Код:
    root@NAS-Deb:~# echo 200 wg >> /etc/iproute2/rt_tables
    root@NAS-Deb:~# ip rule add from 10.8.1.5 table wg prio 1
    RTNETLINK answers: File exists
    root@NAS-Deb:~# ip route add default via 10.8.1.1 dev WG-Cl-Amigo table wg
    RTNETLINK answers: File exists

     
     
    ip a выдаёт просто кучу всяких интерфейсов, нужное как я понимаю:

    Код:
    37: WG-Cl-Amigo: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
        link/none
        inet 10.8.1.5/24 scope global WG-Cl-Amigo
           valid_lft forever preferred_lft forever
     
    3: enp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
        link/ether 90:2b:34:d0:70:7e brd ff:ff:ff:ff:ff:ff
        inet 192.168.1.5/24 brd 192.168.1.255 scope global dynamic noprefixroute enp6s0
           valid_lft 20600sec preferred_lft 20600sec
        inet6 fe80::922b:34ff:fed0:707e/64 scope link noprefixroute
           valid_lft forever preferred_lft forever
     

     
    ip ru

    Код:
    root@NAS-Deb:~# ip ru
    0:      from all lookup local
    1:      from 10.8.1.5 lookup wg
    32766:  from all lookup main
    32767:  from all lookup default

     
    ip r

    Код:
    root@NAS-Deb:~# ip r
    default via 192.168.1.1 dev enp6s0 proto dhcp metric 100
    10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
    10.8.1.0/24 dev WG-Cl-Amigo proto kernel scope link src 10.8.1.5
    172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
    172.30.32.0/23 dev hassio proto kernel scope link src 172.30.32.1
    192.168.1.0/24 dev enp6s0 proto kernel scope link src 192.168.1.5 metric 100

     
    ss -nlp src :8123

    Код:
     
    root@NAS-Deb:~# ss -nlp src :8123
    Netid          State           Recv-Q          Send-Q                   Local Address:Port                   Peer Address:Port
    tcp            LISTEN          0               128                            0.0.0.0:8123                        0.0.0.0:*             users("python3",pid=5178,fd=25))
    tcp            LISTEN          0               128                               [::]:8123                           [::]:*             users("python3",pid=5178,fd=24))
    root@NAS-Deb:~#

     
    Добавлено:

    Цитата:
    Вы могли бы и сами потыкаться и прийти с каким-то следующим вопросом, а не просто "не работает"

    я Вам безмерно благодарен за терпение, к сожалению я ума не приложу куда тыкаться  

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 19:53 15-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    Повторное добавление без перезагрузки говорит, что File exists
    и не поспоришь... Действительно же exists.
    В выводах выглядит всё хорошо.
    Цитата:
    DNAT --to-destination 10.8.1.5:8123
    должно приводить к желаемому результату. Как при наличии так и при отсутствии правила маскарадинга на VPS в сторону туннеля.
    File exist кнеч говорит нам что всё как надо, но для успокоения проверьте что в ip r s t wg действительно один defualt route через wg туннельи больше ни чего нет.
     
    Дальше если ошибка не видна, я бы пошёл tcpdump'апть трафик, что бы увидеть что реально происходит на Debian NAS.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 22:03 15-05-2022
    i81

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    для успокоения проверьте что в ip r s t wg действительно один defualt route через wg туннельи больше ни чего нет.

    Вообще нет никакого вывода  

    Код:
    root@NAS-Deb:~# ip r s t wg
    root@NAS-Deb:~#
    Цитата:
    DNAT --to-destination 10.8.1.5:8123
    должно приводить к желаемому результату.

     

    Минуточку, я же это не писал.  
    Для себя я почему-то решил, что или
    Код:
    iptables -t nat -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.8.1.5:8123
    , или маркировка трафика.
    Но, я прописал и не помогло Один черт без
    Код:
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
    не работает

    Всего записей: 329 | Зарегистр. 08-04-2006 | Отправлено: 04:41 16-05-2022
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru