V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
boogiefer
V2EX  ›  Linux

请教 iptables nat 转发的问题?

  •  
  •   boogiefer · 2015-10-24 00:16:10 +08:00 · 6626 次点击
    这是一个创建于 3324 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在内网树莓派上搭建了 VPN server 和 sslocal ,路由器端口映射 VPN 端口到树莓派。希望通过 iptables 将外网登录到 VPN 网络的客户端流量转发到 sslocal 上去。

    iptables 小白。目前是这样写到规则,没用。

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 1080
    iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 1080
    

    请问下 iptables 规则应该怎样设置?

    第 1 条附言  ·  2015-10-27 10:41:51 +08:00

    感谢各位解答,昨晚抽空又搞了一下。

    目前的做法是在树莓派编译安装 shadowsocks-libev ,同时运行 ss-local 和 ss-redir 。

    VPN 的配置文件里指定 DNS 解析服务器为本机的 chinadns ,而不是通过 iptables 转发的。

    目前在公司或者外面,连上树莓派的 VPN ,可以直接翻墙了。

    24 条回复    2017-01-02 06:04:15 +08:00
    likuku
        1
    likuku  
       2015-10-24 00:31:44 +08:00
    /etc/sysctl.conf 里 ipv4_forward 开启了么?
    extreme
        2
    extreme  
       2015-10-24 00:57:26 +08:00
    ss-local 监听的是 SOCKS5 协议吧,用 ss-redir ……
    LINAICAI
        3
    LINAICAI  
       2015-10-24 01:23:35 +08:00
    VPN 各种封了,已经放弃了。。。
    ryd994
        4
    ryd994  
       2015-10-24 05:16:18 +08:00 via Android
    你只能在派上转发啊,因为路由器并不知道 vpn 里走的是什么内容
    另外,如楼上说,用 ss-redir 或者 redsocks
    cnleoyang
        5
    cnleoyang  
       2015-10-24 10:24:26 +08:00 via iPad
    @LINAICAI 楼主的 rpi 应该是放在家里的,电信网内各 vpn 协议应该都是正常的(推荐 openvpn ),移动和长宽可能会有封禁机制。
    boogiefer
        6
    boogiefer  
    OP
       2015-10-24 12:00:27 +08:00 via iPad
    @likuku 开启了,登录 VPN 是可以的上网的。
    boogiefer
        7
    boogiefer  
    OP
       2015-10-24 12:06:07 +08:00 via iPad
    @extreme iptables 转发不是 tcp 那层的流量么,与协议相关?
    @ryd994 我是在 pi 上转发的,路由只负责映射外网端口
    ryd994
        8
    ryd994  
       2015-10-24 12:36:59 +08:00 via Android   ❤️ 1
    @boogiefer ss 开的是 socks ,是有额外的头数据指定要连接的主机和端口的,你查 socks 协议就知道了
    但正常的 TCP 连接并不包括这部分,所以单纯的 iptables 转发是不行的,要配合 ssredir
    rungo
        9
    rungo  
       2015-10-24 13:47:41 +08:00
    直接 iptables 转发肯定不行,需要加一层 rednecks, 把 vpn 过来的流量转成 socks5 到 ss 上
    LINAICAI
        10
    LINAICAI  
       2015-10-24 13:48:09 +08:00
    @cnleoyang 之前试过 SS 和 vpn 共存,不是不能上 VPN,而是各个运营商的网络非常不稳定,有些能上,有些经常断,用的正是 PPTP 协议。
    我在 VPS 上搭建的一套,只不过想在 IOS 系统上能方便的使用 VPN ,后来实在不稳定,已经放弃了。
    rungo
        11
    rungo  
       2015-10-24 13:48:09 +08:00
    @rungo rednecks->redsocks
    cattyhouse
        12
    cattyhouse  
       2015-11-20 21:29:37 +08:00
    目测 LZ 已经在 pi 上装了个 vpn 服务器,那么再在 pi 上装个 vpn 客户端拨号到境外服务器上,就 o 了。

    更简单的办法:用 iptables 的 DNAT 把拨号进来的 VPN 端口转发到境外 VPN 端口,这样 pi 上不用装 vpn 也不用装 ss
    boogiefer
        13
    boogiefer  
    OP
       2015-11-20 23:02:37 +08:00
    @cattyhouse 我的目标就是在境外服务器只部署 ss ,而不用安装 vpn server ,这样的好处就是配置只集中在 pi 上面, vps 挂了我改下 pi 的配置文件就好了。
    cattyhouse
        14
    cattyhouse  
       2015-11-21 20:02:10 +08:00
    @boogiefer Pi 带的动 VPN 吗,据说速度只有 30Mbps 撑死。
    boogiefer
        15
    boogiefer  
    OP
       2015-11-21 22:24:34 +08:00 via iPad
    @cattyhouse 看使用场景,大多数情况,我是在蜂窝网络或者在公共 wifi 使用,所以对速度没有极致要求。
    mmmyc
        16
    mmmyc  
       2016-12-19 06:17:54 +08:00 via Android
    楼主,可否留个联系方式,求指导
    企鹅:捌 5 捌 1 捌 5 捌 26
    boogiefer
        17
    boogiefer  
    OP
       2016-12-19 11:50:51 +08:00
    @mmmyc 什么问题呢
    mmmyc
        18
    mmmyc  
       2016-12-19 13:12:02 +08:00 via Android
    @boogiefer
    现状:
    本地用 openvpn 连接墙内的 QQ 云 centos , QQ 云用 ss 连接墙外的 do 云。
    期望:
    在 QQ 云分流,使 openvpn 用户访问墙内网直接连接;访问墙外网则通过 ss 代理。
    问题:
    已在 QQ 云安装 ss-libev ,并成功 ss 到 do 云,并根据网上教程配置路由表和转发。但连接上 openvpn 后所有网站均打不开。
    楼主能否给出详细配置?谢谢
    boogiefer
        19
    boogiefer  
    OP
       2016-12-19 18:06:56 +08:00
    boogiefer
        20
    boogiefer  
    OP
       2016-12-19 18:07:58 +08:00
    mmmyc
        21
    mmmyc  
       2016-12-19 18:17:18 +08:00 via Android
    好的。非常感谢
    mmmyc
        22
    mmmyc  
       2017-01-01 06:50:25 +08:00 via Android
    @boogiefer 兄弟,你 githup 的连接 404 了。还有备份吗?上次的弄好了。现在配置另一台服务器的,早知道当时离线一份就好了。
    mmmyc
        24
    mmmyc  
       2017-01-02 06:04:15 +08:00 via Android
    @boogiefer 感谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1425 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:30 · PVG 01:30 · LAX 09:30 · JFK 12:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.