Từ câu hỏi UFW trước đây của bạn, có vẻ như bạn đang sử dụng WireGuard cho hai mục đích?: 1) chuyển tiếp lưu lượng truy cập từ ứng dụng khách WireGuard của VPS của bạn ra Internet và 2) chuyển tiếp một vài cổng công khai từ VPS của bạn trở lại ứng dụng khách WireGuard . Bạn cần giả mạo (còn gọi là SNAT) cho 1) và chuyển tiếp cổng (còn gọi là DNAT) cho 2).
Cách đơn giản nhất để thiết lập điều này với tường lửa là liên kết giao diện Ethernet công cộng của VPS của bạn (eth0 trong trường hợp của bạn) thành tường lửa được xác định trước bên ngoài vùng và giao diện WireGuard của VPS của bạn (wg0 trong trường hợp của bạn) thành tường lửa được xác định trước nội bộ vùng. Các bên ngoài vùng được cấu hình sẵn với tính năng giả mạo được kích hoạt; và cả hai vùng cũng được cấu hình sẵn để chấp nhận SSH và một vài dịch vụ khác.
Trước tiên hãy mở cổng nghe WireGuard của VPS của bạn (49503 trong trường hợp của bạn) trên bên ngoài vùng:
$ sudo tường lửa-cmd --zone=bên ngoài --add-port=49503/udp
Và chuyển tiếp cổng TCP 56000 trên bên ngoài khu vực đến cùng một cổng trên 10.66.66.2:
$ sudo tường lửa-cmd --zone=external --add-forward-port='port=56000:proto=tcp:toaddr=10.66.66.2'
Sau đó ràng buộc eth0 đến bên ngoài vùng (áp dụng cấu hình của tường lửa cho bên ngoài khu vực cho tất cả eth0 kết nối):
$ sudo tường lửa-cmd --zone=external --add-interface=eth0
Và ràng buộc wg0 đến nội bộ vùng:
$ sudo tường lửa-cmd --zone=internal --add-interface=wg0
Kiểm tra vùng hoạt động của bạn:
$ sudo tường lửa-cmd --get-active-zones
bên ngoài
giao diện: eth0
nội bộ
giao diện: wg0
Và kiểm tra cấu hình của bạn bên ngoài vùng:
$ sudo tường lửa-cmd --info-zone=bên ngoài
bên ngoài (hoạt động)
mục tiêu: mặc định
icmp-block-đảo ngược: không
giao diện: eth0
nguồn:
dịch vụ: ssh
cổng: 49503/udp
giao thức:
hóa trang: vâng
cổng chuyển tiếp: port=56000:proto=tcp:toaddr=10.66.66.2
cổng nguồn:
khối icmp:
Quy tắc phong phú:
Nếu mọi thứ hoạt động bình thường, hãy lưu cài đặt tường lửa hiện tại của bạn:
$ sudo tường lửa-cmd --runtime-to- Permanent
