iptables sekä porttien näkyminen ja nat

[dataaja95]

Terve
Tarkoituksena olisi siis saada vpn:n takana olevan koneen portit näkymään ulkoverkkoon päin, kuitenkin ilmeisesti tämä vaatisi nattauksen iptablesilla että saisi portit näkymään ulkoverkkoon, jos koneen osoite olisi esim 10.10.10.2 menisikö komento näin, ainakaan nmap skannauksessa kyseistä porttia ei näy aukinaisena vaikka nginxin pitäisi sitä kuunnella, palomuurit ovat tarkistettu ja niiden ei pitäisi olla ongelmana. skannatessa suoraan osoitetta 10.10.10.2 portti näkyy aukinaisena mutta skannatessa palvelimen ulkoista ip:tä sitä ei näy
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 10.10.10.2:443

Liikenne pääsee gatewaykoneelle asti, mutta vpn-clientille missä pyörii nginx liikenne ei pääse skannatessa ulkoverkosta.

 

[telcoM]

Onko tuo eth0 siis se verkkoliitäntä joka on kiinni internetissä? Jos ei ole, vaihda eth0:n paikalle se verkkoliitäntä jonka kautta liikenne menee internettiin. Muuten komento näyttää oikealta.

Toki pitää muistaa että sääntöjen järjestyksellä on väliä: jos PREROUTING-taulussa on jo ennestään muita sääntöjä, voi olla että paketti ei koskaan pääse tuohon sääntöön asti. Tarkista komennolla:

iptables -L PREROUTING -vn -t nat

Lisäksi filter-sääntöjen FORWARD-taulussa pitää olla sääntö joka sallii internetistä saapuvien ja 10.10.10.2:443:een menossa olevien pakettien välityksen eteenpäin asianmukaiseen verkkoliitäntään. Tarkista komennolla:

iptables -L FORWARD -vn -t filter

Tarvittaessa lisää sääntö FORWARD-ketjun alkuun vaikka näin:

iptables -I FORWARD 1 -i eth0 -p tcp -d 10.10.10.2 --dport 443 -j ACCEPT

 

[dataaja95]

Noniin homma lähti toimimaan, mutta ongelmaksi tulee päällä oleva wireguard yhteys, olen asettanut sen reitittämään clientin kaiken liikenteen vpn:ään asetuksella allowedips 0.0.0.0/0 ja tämähän reitittää myös ssh-liikenteen vpn:ään johon ei tule ikinä vastausta jos esim yritän yhdistää serveriin konffatakseni sitä, miten voin rajata että ssh:ta ei reititetä wireguardiin, ansiblen käyttö on melko mahdotonta

 

[mikajh]

Ehkä tästä lisäyksestä ensimmäisen viestisi iptables-komennon lisäksi olisi apua:
sudo iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

Tällöin gateway-koneelle tulevan paketin ip-osoite korvataan (masquerade) gatewayn wg-osoitteella.
Tätä komboa olen käyttänyt use casessa, missä OpenVPN:n kautta tulevat paketit routataan gateway-koneen lähiverkkoon. Sinulla on nähdäkseni muuten samanlainen setup, paitsi että fyysinen interface ja vpn ovat toisin päin