Судя по вашему предыдущему вопросу UFW, вы используете WireGuard для двух целей?: 1) перенаправляете трафик с клиента WireGuard вашего VPS в Интернет и 2) перенаправляете несколько общедоступных портов с вашего VPS обратно на клиент WireGuard. . Вам нужен маскарад (он же SNAT) для 1) и переадресация портов (он же DNAT) для 2).
Самый простой способ настроить это с помощью firewalld — привязать общедоступный Ethernet-интерфейс вашего VPS (eth0 в вашем случае) для предопределенного firewalld внешний зону и интерфейс WireGuard вашего VPS (WG0 в вашем случае) для предопределенного firewalld внутренний зона. внешний зона предварительно настроена с включенным маскированием; и обе зоны также предварительно настроены для приема SSH и некоторых других сервисов.
Сначала откройте порт прослушивания WireGuard вашего VPS (49503 в вашем случае) на внешний зона:
$ sudo firewall-cmd --zone=external --add-port=49503/udp
И перенаправить порт TCP 56000 на внешний зону к тому же порту на 10.66.66.2:
$ sudo firewall-cmd --zone=external --add-forward-port='port=56000:proto=tcp:toaddr=10.66.66.2'
Затем привяжите eth0 к внешний зона (которая применяет конфигурацию firewalld для внешний зона для всех eth0 соединения):
$ sudo firewall-cmd --zone=external --add-interface=eth0
И связать WG0 к внутренний зона:
$ sudo firewall-cmd --zone=internal --add-interface=wg0
Проверьте свои активные зоны:
$ sudo firewall-cmd --get-active-zones
внешний
интерфейсы: eth0
внутренний
интерфейсы: WG0
И проверьте конфигурацию вашего внешний зона:
$ sudo firewall-cmd --info-zone=external
внешний (активный)
цель: по умолчанию
icmp-инверсия блока: нет
интерфейсы: eth0
источники:
услуги: ssh
порты: 49503/udp
протоколы:
маскарад: да
переадресация портов: порт = 56000: proto = TCP: toaddr = 10.66.66.2
исходные порты:
icmp-блоки:
богатые правила:
Если все работает правильно, сохраните текущие настройки firewalld:
$ sudo firewall-cmd --runtime-to-permanent
