Linux 連接埠轉送問題

tag-icon tag-icon linux routing nat port-forwarding proxmox
Linux 連接埠轉送問題

我再也看不到那些樹了。任何提示表示讚賞。

我有一台根伺服器並安裝了proxmox,我只有一個公共IP。採用路由設定。設定一些基本的東西,例如 2FA 和 TLS 認證,然後繼續運行 pfsense,以便我可以 openvpn 進入我的私有子網並阻止從互聯網到 proxmox Web UI 的訪問。

不能弄清楚我缺少什麼,無論如何,我似乎無法將連接埠從我的 Debian 轉發到 pfsense VM 工作。

IP 轉送已啟用:

cat /proc/sys/net/ipv4/conf/enp35s0/forwarding
1

我有我的私人子網,其中有一些客戶端虛擬機,一切正常:

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.0/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

Main主介面與公共位址:

auto enp35s0
iface enp35s0 inet static
        address 1.1.1.175/26
        gateway 1.1.1.129
        up route add -net 1.1.1.128 netmask 255.255.255.192 gw 1.1.1.129 dev enp35s0

在 enp35s0 上一切都很好,有 ssh 和 Web UI 存取權限。這是我猜測是錯誤的配置

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        # NAT
        post-up   iptables -t nat -A POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        # Port Forward
        post-up iptables -t nat -A PREROUTING -d 1.1.1.175 -p tcp --dport 1194 -j DNAT --to-destination 172.16.0.2:1194
        post-up iptables -A FORWARD -p tcp -d 172.16.0.2 --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        post-up iptables -A POSTROUTING -t nat -p tcp -m tcp -s 172.16.0.2 --sport 1194 -j SNAT --to-source 1.1.1.175
        post-down iptables -t nat -D PREROUTING -i enp35s0 -p tcp --dport 1194 -j DNAT --to 172.16.0.2:1194

所以基本上:

<網際網路> <Debian 1.1.1.175> <pfSense 172.16.0.2 / 10.0.0.1> <客戶端 10.0.0.2>

用戶端從 pfSense DHCP 取得其 IP,並且可以 Ping pfsense 並存取網際網路。我猜這意味著 vmbr0 上的基本功能和路由正在按預期工作。

不起作用的是我無法從外部存取 pfSense 上設定的 OpenVPN 伺服器。當我用 nmap 測試它時,它只是報告連接埠已關閉。

有任何想法嗎?

EDIT1:我不使用內建的 PVE 防火牆

根據 Nikita 的建議,我將設定保留為以下 IP 轉發

grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward=1

建立 iptables 儲存並重新啟動伺服器以檢查設定是否仍然存在。介面配置現在看起來像

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0

EDIT2:路由表對我來說看起來不錯:

default via 1.1.1.129 dev enp35s0 proto kernel onlink
10.0.0.0/24 dev vmbr1 proto kernel scope link src 10.0.0.0
1.1.1.128/26 via 1.1.1.129 dev enp35s0
1.1.1.128/26 dev enp35s0 proto kernel scope link src 1.1.1.175
172.16.0.0/24 dev vmbr0 proto kernel scope link src 172.16.0.1

相關內容