NAT机器设置UFW中转

 此方法在 Debian & Ubuntu 下较为简便(Ubuntu 18.04 默认使用 UFW)。

首先要修改 /etc/sysctl.conf 文件:

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

修改 /etc/default/ufw :

sudo vim /etc/default/ufw
DEFAULT_FORWARD_POLICY="ACCEPT"

修改 /etc/ufw/before.rules :

sudo vim /etc/ufw/before.rules

在 *filter 之前添加:

# nat table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# port forwarding
-A PREROUTING -p tcp --dport 本机端口号 -j DNAT --to-destination 目标地址:目标端口号
-A PREROUTING -p udp --dport 本机端口号 -j DNAT --to-destination 目标地址:目标端口号
-A POSTROUTING -p tcp -d 目标地址 --dport 目标端口号 -j SNAT --to-source 本机内网地址
-A POSTROUTING -p udp -d 目标地址 --dport 目标端口号 -j SNAT --to-source 本机内网地址

# commit to apply changes
COMMIT

其中,目标地址 为目标服务器的 IP 地址,本机内网地址 为本机在内部局域网的 IP 地址。

重启 UFW:

sudo ufw disable && sudo ufw enable

至此,利用 UFW 设置中转的方法介绍完毕。另可根据使用场景,对目标机的防火墙进行配置,令其只接受来自此 NAT VPS 的流量。

目标机的设置:

此处示例的目标机为 Debian & Ubuntu 系统,安装并启用了 UFW:

如需同时允许 TCP 和 UDP 入站:

sudo ufw allow from 中转机地址 to any port 端口号

如需只允许 TCP 入站:

sudo ufw allow proto tcp from 中转机地址 to any port 端口号

如需只允许 UDP 入站:

sudo ufw allow proto udp from 中转机地址 to any port 端口号

以上命令中,中转机地址 为 NAT VPS 的公网 IP 地址。

其他系统、其他防火墙控制软件的操作与之类似,放行来自 NAT VPS 的 IP 的指定端口号即可。

评论

发表评论

此博客中的热门博文

搭建Trojan-go一键脚本教程

  github地址: https://github.com/jinwyp/one_click_script 功能说明 Features 1.支持 trojan,trojan-go 和 v2ray, xray 的安装 升级 卸载. 卸载后不留任何痕迹, 方便重复安装. 2.支持 trojan 或 trojan-go 与 v2ray 共存, nginx全面支持TLS1.3 保证安全性, 支持SNI分流 3.可以仅安装 trojan 或 v2ray, 可以不安装nginx. 方便与宝塔面板或现有网站共存. 4.支持 v2ray 和 xray 新的vless协议, 支持v2ray作为前端 监听443端口 同时转发trojan 和 websocket 5.支持 trojan-go websocket 模式, 可以选择是否支持CDN (websocket) 6.默认会创建10个以上用户账号, 还能创建指定前缀的密码, 方便用户使用. 7.trojan 和 v2ray 可视化管理面板安装. 8.一键安装wireguard, 解决避免弹出Google人机验证和 Netflix 限制问题 9.支持 一键安装 v2board 面板的服务器端 V2Ray-Poseidon 或 soga 10.本脚本没有偷跑服务器流量的网页或其他屏蔽bt流量的等限制. 默认网页仅为bootstarp最简单的模板 11.本脚本所使用端口除443和80外都是随机生成, 保证安全性, 而其他脚本写死固定端口容易被检测 12本脚本不推荐安装多种v2ray的多种协议共存, 协议越多安全性越低, 而且也不会提高速度, 没有必要使用多合一的脚本同时安装多个协议 Installation 安装方法 通过 curl 命令安装 curl -O https://raw.githubusercontent.com/jinwyp/one_click_script/master/trojan_v2ray_install.sh && chmod +x ./trojan_v2ray_install.sh && ./trojan_v2ray_install.sh 通过 wget 命令安装 wget --no-check-certificate https://raw.githubuserc...
阅读全文

使用 Cloudflare WARP 给 VPS 服务器免费添加 IPv4 或 IPv6 网络支持

图片
  准备工作 既然 WARP 是基于 Wire­Guard 的,那么我们首先就需要安装 Wire­Guard 。由于博主使用的是 De­bian ,所以只写了 De­bian 的 Wire­Guard 详细安装方法,其它系统可以参考 官方文档 来进行安装。 首先安装一些必要的工具,防止接下来的操作出问题。 apt update apt install curl sudo lsb - release - y 添加 back­ports 源 echo "deb http://deb.debian.org/debian $(lsb_release -sc)-backports main" | sudo tee /etc/apt/sources.list.d/backports.list sudo apt update 安装网络工具包 sudo apt install net - tools iproute2 openresolv dnsutils - y 安装  wireguard-tools  (Wire­Guard 配置工具: wg 、 wg-quick ) sudo apt install wireguard - tools -- no - install - recommends 安装 WireGuard 先执行  uname -r  命令查看内核版本。如果是 5.6 以上内核则已经集成了 Wire­Guard ,就不需要安装了。 当然看到这篇教程的小伙伴肯定大多数都不是这个情况,因为目前 De­bian 10 自带的内核版本是 4.19 。所以有如下几个安装方法可供选择: 安装版本高于 5.6 的内核 安装 wireguard 内核模块 安装 wireguard-go 网络性能方面 内核集成 > 内核模块 > wireguard-go ,至于如何选择还要看实际情况: KVM / HyperV / XEN HVM 等完整虚拟化的 VPS 主机,以上都是可选项,根据实际情况任选其一,后面有相关说明。 OpenVZ / LXC 等非完整虚拟化 VPS 主机,由于是共享宿主机内核,故无法对内核进行修改,就只能安装  wireguard-go 。 如果只要安装方便快捷,对网络性能没有极致追求,又或者对以上信息一脸懵...
阅读全文

GCP DD windows server 2012 亲测可用

 wget --no-check-certificate -qO InstallNET.sh 'https://moeclub.org/attachment/LinuxShell/InstallNET.sh' && bash InstallNET.sh --ip-addr 10.182.0.3 --ip-mask 255.255.240.0 --ip-gate 10.182.0.1 -dd 'https://oss.sunpma.com/Windows/Whole/cn_windows2012r2_administrator_Password147.gz'
阅读全文