порт передачи iptables располагается через OpenVPN
У меня есть сервер VPN ("хост" - 10.8.1.1) на общедоступном выполнении экземпляра VPS OpenVPN. Второй экземпляр, который я выполняю ("клиент" - 10.8.1.2) является локальным экземпляром ESXI, подключенным к хосту vpn сервер. Оба сервера работают, CSF (укрепил iptables frontend по существу). Кроме того, оба сервера имеют 27015:27050 UDP, позволенный В / в их csf.confs.
Я пытаюсь передать трафик на хосте на диапазоне портов 27015-27050 (UDP) через туннель OpenVPN клиенту. Оттуда, весь трафик ответа должен вернуться через туннель к хосту (я принимаю через SNAT).
Я попробовал каждое изменение каждой возможной команды, которую я смог найти на Google, и самым дальним, который я имею, является начальный пакет, который будет передан через туннель клиенту, но ничему назад к хосту.
Вот то, что я имею в своем csfpost.sh на хосте (сценарий бежит за концами csf запуститься):
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 27015 -j DNAT --to-destination 10.8.1.2:27015
iptables -A FORWARD -p udp -d 10.8.1.2 --dport 27015 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Начиная с команд я примерил клиент, не работали до сих пор, я сомневаюсь, что они помогли бы видеть.
Команды, которые я показал только выше порта влияния 27015, но моя конечная цель должна иметь диапазон портов 27015-27050 переданных
Спасибо за любую справку или предложения!
Я согласен с kasperd.
Если вы хотите убедиться, что ответный пакет отправлен по тому же самому маршруту, вы либо должны реализовать некую причудливую политику маршрутизации на приемном блоке (используя connmark для маркировки входящих соединений на vpn интерфейсе, затем --restore-mark на исходящих ответных пакетах, и правило ip(8) для пересылки помеченных пакетов с помощью таблицы маршрутизации, шлюзом по умолчанию которой является vpn peer); либо просто SNAT пакетов на vpn IP блока NAT.
Т.е. добавить что-то вроде
iptables -t nat -A POSTROUTING -p udp -o vpninterface --dport 27015 -j MASQUERADE