Linux 端口转发问题

tag-icon tag-icon linux routing nat port-forwarding proxmox
Linux 端口转发问题

我再也看不到树了。如有任何提示,我将不胜感激。

我有一个根服务器并安装了 proxmox,我只有一个公共 IP。使用路由设置。设置一些基本的东西,如 2FA 和 TLS 认证,然后继续运行 pfsense,这样我就可以将 openvpn 连接到我的私有子网并阻止从互联网访问 proxmox Web UI。

不能弄清楚我缺少什么,无论如何,我似乎无法将端口从我的 Debian 转发到 pfSense VM 工作。

IP 转发已启用:

cat /proc/sys/net/ipv4/conf/enp35s0/forwarding
1

我有我的私有子网,其中有一些客户端虚拟机,一切运行正常:

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.0/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

Main主界面与公众号地址:

auto enp35s0
iface enp35s0 inet static
        address 1.1.1.175/26
        gateway 1.1.1.129
        up route add -net 1.1.1.128 netmask 255.255.255.192 gw 1.1.1.129 dev enp35s0

在 enp35s0 上一切正常,有 ssh 和 Web UI 访问权限。以下是配置,我猜它有点错误

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        # NAT
        post-up   iptables -t nat -A POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        # Port Forward
        post-up iptables -t nat -A PREROUTING -d 1.1.1.175 -p tcp --dport 1194 -j DNAT --to-destination 172.16.0.2:1194
        post-up iptables -A FORWARD -p tcp -d 172.16.0.2 --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        post-up iptables -A POSTROUTING -t nat -p tcp -m tcp -s 172.16.0.2 --sport 1194 -j SNAT --to-source 1.1.1.175
        post-down iptables -t nat -D PREROUTING -i enp35s0 -p tcp --dport 1194 -j DNAT --to 172.16.0.2:1194

基本上来说:

< 互联网 > <Debian 1.1.1.175> <pfSense 172.16.0.2 / 10.0.0.1> <客户端 10.0.0.2>

客户端从 pfSense DHCP 获取其 IP,并可以 Ping pfSense 并访问互联网。我猜这意味着 vmbr0 上的基本功能和路由按预期运行。

问题在于我无法从外部访问 pfSense 上配置的 OpenVPN 服务器。当我使用 nmap 测试它时,它只是报告端口已关闭。

有任何想法吗?

EDIT1:我不使用内置的 PVE 防火墙

根据 Nikita 的建议,我保留了以下配置:IP 转发

grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward=1

创建 iptables 保存并重新启动服务器以检查配置是否仍然存在。接口配置现在看起来像

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0

EDIT2:路由表对我来说看起来不错:

default via 1.1.1.129 dev enp35s0 proto kernel onlink
10.0.0.0/24 dev vmbr1 proto kernel scope link src 10.0.0.0
1.1.1.128/26 via 1.1.1.129 dev enp35s0
1.1.1.128/26 dev enp35s0 proto kernel scope link src 1.1.1.175
172.16.0.0/24 dev vmbr0 proto kernel scope link src 172.16.0.1

相关内容