Как перенаправить доступ к порту на одном интерфейсе на порт другого интерфейса на той же машине?

На чтение 3 мин Опубликовано 20.11.2024

Содержание

Вопрос или проблема
Ответ или решение
Шаги для настройки перенаправления с помощью iptables
Завершение
Дополнительные меры безопасности

Вопрос или проблема

В основном, у меня есть сервис, который слушает на eth0‘s 10.16.1.1 на порту 1000 на машине с Ubuntu 22.04. Этот сервис не позволяет слушать на catchall, как 0.0.0.0 (вне моего контроля). Это внутреннюю сеть.

Для удаленного доступа у меня также есть работающая VPN-сеть на wg0, которая назначила адресу 192.168.100.1 этой машине.

Вот вопрос: Как мне переадресовать запросы с 192.168.100.1:1000 на 10.16.1.1:1000?

Вы можете использовать действие DNAT в iptables для перенаправления трафика:

iptables -t nat -A PREROUTING \
  -d 192.168.100.1 \
  -p tcp --dport 1000 \
  -j DNAT --to-destination 10.16.1.1:1000

Ответ или решение

Для перенаправления доступа к порту на одном интерфейсе к порту другого интерфейса на том же сервере, мы можем воспользоваться инструментом iptables, который позволяет настраивать правила для фильтрации и маршрутизации сетевого трафика в Linux. В данном случае, нам необходимо перенаправить трафик, поступающий на адрес 192.168.100.1 (интерфейс wg0), к внутреннему адресу 10.16.1.1 на порту 1000, где работает ваш сервис.

Шаги для настройки перенаправления с помощью iptables

Открытие терминала: Вам потребуется доступ к терминалу вашего сервера, где запущен Ubuntu 22.04.
Проверка наличия iptables: Выполните команду, чтобы убедиться, что iptables установлен и работает:
```
sudo iptables -L
```
Если вы видите список правил, значит, iptables работает корректно.
Добавление правила NAT с использованием DNAT: Введите следующую команду для добавления правила перенаправления (DNAT) в цепочке PREROUTING:
```
sudo iptables -t nat -A PREROUTING \
 -d 192.168.100.1 \
 -p tcp --dport 1000 \
 -j DNAT --to-destination 10.16.1.1:1000
```
- -t nat: Указывает, что мы работаем с таблицей NAT.
- -A PREROUTING: Добавляет правило в цепочку PREROUTING, что позволяет обрабатывать входящий трафик до его маршрутизации.
- -d 192.168.100.1: Указывает адрес назначения, для которого применяется правило (в данном случае это адрес вашего VPN).
- -p tcp: Указывает, что правило применяется только для TCP трафика.
- --dport 1000: Определяет порт, на который будет осуществляться запрос (порт вашего сервиса).
- -j DNAT --to-destination 10.16.1.1:1000: Указывает, что трафик должен быть перенаправлен на другой адрес и порт.
Сохранение правил iptables: После добавления правила обязательно сохраните ваши изменения, чтобы они не сбросились при перезагрузке системы. Для этого можно использовать пакет iptables-persistent:
```
sudo apt install iptables-persistent
```
При установке вы будете спрошены, хотите ли сохранить текущие правила. Ответьте «Да».
Проверка правил iptables: Убедитесь, что правило было успешно добавлено, выполнив:
```
sudo iptables -t nat -L -n -v
```
Вы должны увидеть ваше правило в списке.

Завершение

Теперь ваше правило перенаправления настроено. Любой запрос, поступающий на 192.168.100.1:1000, будет перенаправлен на 10.16.1.1:1000, что позволит вам получить доступ к вашему сервису через VPN, несмотря на то, что он не принимает соединения на 0.0.0.0.

Дополнительные меры безопасности

Не забудьте внимательно проверить настройки брандмауэра и конфигурацию сервера VPN, чтобы убедиться, что они не блокируют трафик, а также что с вашего VPN-соединения не осуществляется несанкционированный доступ к другим внутренним ресурсам сети. Успешное перенаправление трафика — это только первая часть обеспечения безопасного доступа к вашему сервису.