一台服务器经常被 DDoS 攻击,前置加了一台高防服务器(原服务器只能换 IP ,没办法直接上高防,程序已经十几年没人维护了不敢迁移),用 Nginx 反代,但这样 IP 全变成反代服务器 IP 了,试了改请求头 XFF 之类的方法全部无效,说明程序没有适配,不要再提这样的建议了。现在在尝试用 wireguard+iptables 来转发流量,但我非科班没学过一点网络(属于自家路由器都不会配,宽带师傅装完路由器后台都不敢进,怕我碰一下网就炸了的那种),看了一下午文档还没解决,求个 iptables 规则。
This topic created in 1252 days ago, the information mentioned may be changed or developed.
 |
1
iseki Jan 19, 2023
为什么要用 wireguard 呢,仅供参考,自己测试好再上,默认不做 masquerade 就不会动源 IP:
iptables -L PREROUTING -t nat -p tcp --dport -j DNAT --to-destination 10.0.0.1:1234 echo 1 > /proc/sys/net/ipv4/ip_forward |
|
2
iseki Jan 19, 2023
-L -> -I (手滑了
|
 |
3
edis0n0 OP 试过在反代服务器配 iptables -t nat -A PREROUTING -p tcp -d 10.0.0.20 --dport 80 -j DNAT --to-destination 10.0.0.1:80
然后反代服务器直接失联了,重启才恢复 |
|
5
iseki Jan 19, 2023
不对啊,你这样改完,你不动源 IP ,数据回不去了嘛
|
 |
8
SAGAN Jan 19, 2023  2
理论上应该可以做到吧。需要用到 wireguard 隧道,否则回程的流量源服务器会直接发送给客户端,然后被客户端丢弃。
假设反代(eth0: 1.2.3.4, wg0: 10.0.0.1/24) <--> 源(eth0: 2.3.4.5, wg0: 10.0.0.2/24)。服务运行在 tcp/80 端口。 首先两台服务器都需要打开 ipv4 forward (net.ipv4.ip_forward=1) 反代: iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT iptables -t nat -A PREROUTING -m mark --mark 0x1/0x1 -j DNAT --to 2.3.4.5 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ip rule add fwmark 0x1/0x1 table 10 ip route add default via 10.0.0.1 table 10 源: iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark ip rule add fwmark 0x1/0x1 table 10 ip route add default via 10.0.0.2 table 10 |
|
9
edis0n0 OP @iseki #5 可能是别的规则导致的失联,下午瞎折腾加了十几条 iptables 规则,又试了下#1 这个规则,tcpdump 没抓到任何的包,不知道为什么没转发过去
|
|
10
iseki Jan 19, 2023
唔,原来是为了这个才上 wireguard 啊
|
 |
11
taikobo Jan 19, 2023
DNAT 和 SNAT 要配套使用吧
瞄了一眼 openwrt LUCI 里加的规则,SNAT+DNAT |
 |
12
bugfan Jan 19, 2023
|
 |
13
defunct9 Jan 20, 2023
开 ssh ,让我上去看看
|
 |
14
pagxir Jan 20, 2023 via Android
建议使用 ipsec 传输模式,这样 app 层就可以正常看到 IP 头,并且不影响路由
|
Select Language