wireguard下启用防火墙策略

已于 2023-06-08 21:31:33 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: IT 文章标签: 网络 服务器 运维
于 2021-08-16 16:27:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhf_sy/article/details/119736176
版权

wireguard下启用防火墙策略

# 防止未加密走wg
PostUp =  iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT

# 开启 MASQUERADE nat(特殊snat)   ok
PostUp   = iptables -A FORWARD -i %i -j ACCEPT;  iptables -A FORWARD -o %i -j ACCEPT;  iptables -t nat -A POSTROUTING -o %i -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT;  iptables -D FORWARD -o %i -j ACCEPT;  iptables -t nat -D POSTROUTING -o %i -j MASQUERADE



# 测试 SNAT / snat(wg4上双ip:172.30.1.4; 172.30.1.5)
# SNAT OK
iptables -t nat -A POSTROUTING  -o wg4 -j MASQUERADE
# SNAT OK
iptables -t nat -A POSTROUTING  -o wg4 -j SNAT --to-source 172.30.1.4
# SNAT OK
iptables -t nat -A POSTROUTING  -o wg4 -j SNAT --to-source 172.30.1.4-172.30.1.5
# SNAT OK
iptables -t nat -A POSTROUTING -s 192.168.11.0/24  -o wg4 -j SNAT --to-source 172.30.1.4
iptables -t nat -A POSTROUTING -s 192.168.2.0/24   -o wg4 -j SNAT --to-source 172.30.1.5

# DNAT  从10.1.250.245访问22  ok (aliyun搞的鬼?)
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A PREROUTING  -d 172.30.1.4 -p tcp --dport 22  -j DNAT --to-destination 192.168.11.77; iptables -t nat -A POSTROUTING  -o wg4 -j SNAT --to-source 172.30.1.4
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D PREROUTING  -d 172.30.1.4 -p tcp --dport 22  -j DNAT --to-destination 192.168.11.77; iptables -t nat -D POSTROUTING  -o wg4 -j SNAT --to-source 172.30.1.4

# DNAT  从10.1.250.245访问22  ok (aliyun搞的鬼?)
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A PREROUTING  -i wg4 -d 172.30.1.4  -j DNAT --to-destination 192.168.11.77; iptables -t nat -A POSTROUTING  -o wg4 -s 192.168.11.77  -j SNAT --to-source 172.30.1.4; iptables -t nat -A POSTROUTING  -o wg4 -j SNAT --to-source 172.30.1.5
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D PREROUTING  -i wg4 -d 172.30.1.4  -j DNAT --to-destination 192.168.11.77; iptables -t nat -D POSTROUTING  -o wg4 -s 192.168.11.77  -j SNAT --to-source 172.30.1.4; iptables -t nat -D POSTROUTING  -o wg4 -j SNAT --to-source 172.30.1.5



## 默认包括4个规则表:
raw表:确定是否对该数据包进行状态跟踪
mangle 表: 为数据包设置标记
nat 表: 修改数据包中的源、目标ip地址或端口
filter 表:确定是否放行该数据包(过滤)


## 数据包的常用控制类型:
ACCEPT:允许通过
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志信息,然后传给下一条规则继续匹配


常见的通用匹配条件:
协议匹配:-p 协议名 ,例如:`-p icmp`、`-p udp --dport 53`
地址匹配:-s 源地址、 -d 目的地址,例如:`-s 192.168.2.0/24`
接口匹配: -i 入站网卡、-o 出站网卡


常用的隐含的匹配条件:
端口匹配: --sport 源端口、–dport 目的端口,例如:`--dport 20:21`
ICMP 类型匹配: --ICMP-type icmp 类型


常用的显式匹配条件:
多端口匹配:-m multiport --sports 源端口列表   -m multiport --dports 目的端口列表,例如:`-m multiport --dports 25.80.110.143`
ip范围匹配 : -m iprange --src-range IP范围,例如:`-m iprange --src-range 192.168.4.21-192.168.4.28`
MAC地址匹配: -m mac --mac-source MAC 地址,例如:`-m mac --mac-source 00:29:c0:55:3f`
状态匹配: -m state --state 连接状态,例如:`-m state --state ESTABLISHED,RELATED`、`-m state --state NEW`、`-m tcp --dport 22`




#########################

PostUp   = iptables -t nat -A POSTROUTING -o %i -j SNAT --to-source 172.30.1.2
PostDown = iptables -t nat -D POSTROUTING -o %i -j SNAT --to-source 172.30.1.2


#########################
### 添加
# eth0
## 被动保持
iptables -A FORWARD -i eth0  -m state --state ESTABLISHED,RELATED  -j ACCEPT
## LAN主动
# to all
iptables -A FORWARD -i eth0  -s 192.168.2.7  -j ACCEPT
# to hb
iptables -A FORWARD -i eth0  -s 192.168.2.0/24   -d 192.168.5.0/24  -j ACCEPT
iptables -A FORWARD -i eth0  -s 192.168.11.0/24  -d 192.168.5.0/24  -j ACCEPT
# to gcs
iptables -A FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.203.177 -p tcp -m tcp --dport 22  -j ACCEPT
iptables -A FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.201.121 -p tcp -m tcp --dport 5432  -j ACCEPT
# to gcp
iptables -A FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.3.59 -p tcp -m tcp --dport 22  -j ACCEPT
iptables -A FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.1.182 -p tcp -m tcp --dport 5432  -j ACCEPT
## 拒绝其他
iptables -A FORWARD -i eth0  -j LOG --log-prefix  "IPTABLES-eth0-IN-DROP: "
iptables -A FORWARD -i eth0  -j DROP

# wg1
# DNAT to 81(阿里云封了反向流量)
#iptables -t nat -A PREROUTING -i wg1  -p tcp -m tcp --dport 2222  -j DNAT --to-destination 192.168.11.81:22


#########################
### 删除
# eth0
## 被动保持
iptables -D FORWARD -i eth0  -m state --state ESTABLISHED,RELATED  -j ACCEPT
## LAN主动
# to all
iptables -D FORWARD -i eth0  -s 192.168.2.7  -j ACCEPT
# to hb
iptables -D FORWARD -i eth0  -s 192.168.2.0/24   -d 192.168.5.0/24  -j ACCEPT
iptables -D FORWARD -i eth0  -s 192.168.11.0/24  -d 192.168.5.0/24  -j ACCEPT
# to gcs
iptables -D FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.203.177 -p tcp -m tcp --dport 22  -j ACCEPT
iptables -D FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.201.121 -p tcp -m tcp --dport 5432  -j ACCEPT
# to gcp
iptables -D FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.3.59 -p tcp -m tcp --dport 22  -j ACCEPT
iptables -D FORWARD -i eth0  -s 192.168.2.0/24  -d 10.1.1.182 -p tcp -m tcp --dport 5432  -j ACCEPT
## 拒绝其他
iptables -D FORWARD -i eth0  -j LOG --log-prefix  "IPTABLES-eth0-IN-DROP: "
iptables -D FORWARD -i eth0  -j DROP

# wg1
# DNAT to 81(阿里云封了反向流量)
#iptables -t nat -D PREROUTING -i wg1  -p tcp -m tcp --dport 2222  -j DNAT --to-destination 192.168.11.81:22

最后

img

爱你!

猪猪侠|ZZXia
关注
专栏目录
Securely Connecting Remote SSH Clients to a Linux Server
AI天才研究院
08-03 726
2019年,随着互联网的飞速发展、云计算、大数据等新兴技术的广泛应用,远程办公越来越成为日常工作中不可或缺的一环。无论是IT部门还是非IT部门的人士都在频繁的接触到远程SSH客户端连接Linux服务器这一功能,因为它提供了很多便捷的管理工具和服务。然而,如何保障远程SSH连接的安全性、隐私性及顺畅性成为了一个难题。今天,我将给大家介绍一种比较安全且可靠的方式,即通过VPN或者Wireguard建立加密隧道进行远程SSH客户端的安全连接。本文将从以下几个方面进行阐述:1.什么是VPN?
信息安全领域的个人防护指南——密码管理、网络攻防、操作系统、反病毒软件等
AI天才研究院
08-06 1774
2020年是信息安全行业的元年,数字化进程不断推进,各种攻击手段层出不穷,相关部门对个人信息安全保障的高度重视也正在得到提升。越来越多的人把注意力从传统安全保障转移到新的网络安全防护上来。本文将从个人防护角度,分享一些对个人信息安全进行全方位防护的知识和技巧。密码管理(Password Management)是指保管、管理、使用、共享用户账号和密码,确保用户信息安全的一项重要环节。可以帮助保护个人信息免受各种恶意攻击,促进网络安全运营,提高信息安全水平。
彻底理解 WireGuard 的路由策略
云原生实验室
08-31 2434
❝原文链接????:https://icloudnative.io/posts/linux-routing-of-wireguard/或者点击左下角的阅读原文直接查看原文????很久以前,我们只需要在 Linux 终端中输入 route -n(后来演变出了 ip route,也就是 iproute2 提供的命令),就可以知晓系统中所有数据包的走向,但是,大人,时代变了!如果你是 WireGuard 玩家,...
华硕路由器使用ipv6+ddns开启wireguard vpn实现内网穿透
xxxxssss12的博客
10-04 6390
ipv6+ddns+wireguard实现vpn方式内网穿透
wireguard-跨云or vpc网络通讯方案
saynaihe的博客
08-24 1109
如何ping 通vpc内其他cvm等网络资源呢?登陆腾讯云后台私有网络控制台找到对应vpc路由表,添加到B网络的路由(关于172.17.0.0/16网段并没有与B完全匹配…C网络的容器网络我也会路由到这里就先这样写了)同理,阿里云后台,打开路由表将下一条指定到服务器i-uf6fxoj4zcqlpe8jupv2即10.20.4.42节点wireguard跨网 组网还是很方便的两个网络组网还好,三个组网要注意下子网掩码或者各种的冲突,不知道是否会覆盖冲突…
使用 WireGuard 组建非对称路由以降低延迟
云原生实验室
09-04 1678
❝本文转自遨游者的博客,原文:https://aoyouer.com/posts/wireguard-asymmetric-routing/,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang❝方案二个人感觉是一个更好的配置方案,并且其中的 wireguard 配置方式也在方案一中使用,步骤更简洁明确一些。所以推荐没有耐心看完的同学直接看方案二。奇怪的环境产生奇怪的...
手机、云服务器访问局域网(wireguard组网)
。。
07-13 3303
用其中一台linux虚拟机(192.168.2.101)用来中转流量,通过wireguard与云服务器点对点连接。在云服务器上能够ping通192.168.2.0/24网段所有机器。编辑/etc/wireguard/wg0.conf。编辑/etc/wireguard/wg0.conf。在虚拟机192.168.2.101上执行。云服务增加配置并重新加载wg0。启动wireguard。启动wireguard。确保以上都能ping通。
双NAT环境下的网络通信优化策略
# 1. 理解双NAT环境 ## 1.1 什么是双NAT 在计算机网络中,NAT(Network Address Translation,网络地址转换)是一种将私有网络的IP地址转换为公共网络IP地址,以实现局域网内主机访问公共网络的功能。...
【Kali Linux系统安全】:终端安全防护措施与策略的全攻略
[【Kali Linux系统安全】:终端安全防护措施与策略的全攻略](https://opengraph.githubassets.com/42eb401900e5bbd88e4e28d80ef4b387a0f310bd2565d9dcca48ce6786c4f816/InfoSecWarrior/Kali-Linux-Configuration) ...
Mikrotik ROS软路由设置上网方式(三)
weixin_43620962的博客
06-30 2830
Mikrotik ROS软路由设置上网方式(一)Mikrotik ROS软路由设置上网方式(二)6.1、进入防火墙NAT       1、接着在Winbox界面的左边点击IP,       2、在弹出的列表中选中Firewall,打开防火墙设置窗口,       3、选中防火墙中的NAT选项卡。6.2、添加NAT规则       1、在NAT选项卡中点击左上角+号新增一个规则,       2、在NAT规则卡中选择General,       3、在Chain规则中选择srcnat。       4、再切换
配置Wireguard的几个进阶玩法
衡水铁头哥的博客
03-03 1593
正文共:1111 字 12 图,预估阅读时间:2 分钟上篇文章中(Wireguard配置文件详解),我们详细介绍了Wireguard的配置文件,并且做了一个简单的举例介绍。通过上个案例,我们总结配置Wireguard网络的步骤如下:1、配置Wireguard网卡。ip link add dev wg0 type wireguard ip address add dev wg0 10.1.1.2/2...
组网神器WireGuard安装与配置教程(超详细)
热门推荐
阿甘兄
09-28 7万+
超详细讲解WireGuard的安装、配置以及使用
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
pursuit的博客
11-16 2万+
通过阅读本文,读者将了解 WireGuard 的基本概念和原理,学会安装和配置 WireGuard,以及如何使用 WireGuard 实现内网穿透。此外,还介绍了一些与 WireGuard 相关的工具,以帮助读者更好地管理和使用 WireGuard
Wireguard 中继组网示例
最新发布
IT
04-15 2615
WireGuard 是一款极其简单但快速且现代的 VPN,采用最先进的加密技术。它的目标是比 IPsec 更快、更简单、更精简、更有用,同时避免令人头疼的问题。它的性能远高于 OpenVPN。WireGuard 被设计为通用 VPN,可在嵌入式接口和超级计算机上运行,​​适合许多不同的情况。它最初针对 Linux 内核发布,现在已跨平台(Windows、macOS、BSD、iOS、Android)且可广泛部署。它目前正在大力开发中,但它可能已被视为业内最安全、最易于使用且最简单的 VPN 解决方案。
上古神器WireGuard异地高效率组网
芝士味椒盐的博客
01-11 1万+
​ 缘由 相信很多的工作者、极客玩家或者学生党在项目开发以及发布的时候会遇到云上服务器资源不够(包括内存不够、磁盘不够等等),而我们可能由于一些问题,无法升级云服务器的配置,这样的场景就很尴尬对吧?现在的确有许多的像netapp、以及zerotier这样的内网穿透的存在,但是存在一个问题就是不安全,路由网关并不是在我们自己机器上,而且这些市面的望穿也有高效的方法但是要用money,苦于囊中羞涩,这时候WireGuard就可以很好提供高性能的内网穿透能力。 举个例子:你是个学
使用电信 TR069 内网架设 WireGuard 隧道异地组网
云原生实验室
11-03 7826
❝本文转自 Steins;Gate,原文:https://www.kryii.com/89.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yangTR069 内网是运营商用于下发光猫管理网络的内网,同一运营商同一省份的内网中所有光猫互通,并且可以跑到链路速度。TR069 内网用于架设异地组网隧道不占用宽带带宽,是同一运营商同一省份异地组网的比较好的选择。虽然光...
突破运营商 QoS 封锁,WireGuard 真有“一套”!
云原生实验室
10-07 1万+
❝原文链接????:https://icloudnative.io/posts/wireguard-over-tcp-using-phantun/或者点击左下角的 阅读原文 直接查看原文????????WireGuard 作为一个更先进、更现代的 VPN 协议,比起传统的 IPSec、OpenVPN 等实现,效率更高,配置更简单,并且已经合并入 Linux 内核,使用起来更加方便,简直就是 VPN 中的战斗机。越来...
使用Wireguard进行异地组网
weixin_41253028的博客
01-29 3324
异地组网 wireguard
WireGuard 中文教程:使用 Netmaker 快速组建 WireGuard 全互联 (Full Mesh) 网络
easylife206的专栏
01-14 1万+
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !每日言论创业者要做两件事:第一件是弄清楚要做什么,第二件就是去做。但是,大多数创业者不认为第一件事很重要,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值