如何修改iptables+wg实现双层网络转发到工业现场设备
如何修改iptables+wg实现双层网络转发到工业现场设备
文章目录
- 前言
- 正文
- 初始环境
- 更新nat POSTROUTING表
- 更新filter FORWARD表
- wireguard多重通道配置文件
- client端配置
- 引用
前言
用于双层网络转发内网请求,主要针对场景是现场有一台多网卡的设备,如何搭建双重网络实现网络转发,跳转到现场内网的设备,使用wg建立网络环境,使用iptables实现网络转发。
实际环境如下所示
正文
初始环境
| 电脑 | IP | 备注 |
|---|---|---|
| PC1 | 10.100.1.66/32、10.99.99.2/32 | 个人主机 |
| PC2 | 10.100.1.80/32、10.99.99.1/32、172.24.1.100/32 | 现场主机(跳转) |
| PC3 | 172.24.1.80/32 | 目标主机 |
更新nat POSTROUTING表
# Method 1
$ sudo iptables -t nat -A POSTROUTING -s 10.99.99.0/24 -d 172.24.1.0/24 -o eno1 -j MASQUERADE# Method 2
$ sudo iptables -t nat -A POSTROUTING -o eno1 -j MASQUERADE
更新filter FORWARD表
# Method 1
$ sudo iptables -A FORWARD -i eno1 -o wg9 -j ACCEPT
$ sudo iptables -A FORWARD -i wg9 -o eno1 -j ACCEPT
# or $ sudo iptables -A FORWARD -s 10.99.99.0/24 -d 172.24.1.0/24 -j ACCEPT# Method 2
$ sudo iptables -A FORWARD -o wg9 -j ACCEPT
$ sudo iptables -A FORWARD -i wg9 -j ACCEPT
wireguard多重通道配置文件
# cat wg9.conf
[Interface]
Address = 10.99.99.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eno1 -s 10.99.99.0/24 -d 172.24.1.0/24 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eno1 -s 10.99.99.0/24 -d 172.24.1.0/24 -j MASQUERADE
ListenPort = 51800
PrivateKey = 2GzWSVORwd2WQsoxMK3Cx8EaGRXnOMDM+BhN2KkGYmA=client端配置
# wg9.conf client[Interface]
PrivateKey = ****
Address = 10.99.99.2/32
MTU = 1420[Peer]
PublicKey = ****
AllowedIPs = 172.24.1.0/24, 10.99.99.0/24
Endpoint = 10.100.1.89:51800
PersistentKeepalive = 60引用
iptables基础学习(一)_iptables -t filter -f forward-CSDN博客
iptables常用用法总结_iptables -p forward drop-CSDN博客
Linux网络服务(七)——iptables Forward实现内网服务暴露与访问外网-CSDN博客
IPtables 防火墙 FORWARD链 NAT-CSDN博客