Я использую WireGuard (WG) в качестве VPN и маршрутизирую только определенный трафик на основе порта.На входной стороне туннеля трафик сначала достигает eth0, затем переходит к интерфейсу WG TUN, wg0, поэтому для переадресации на входе работает следующее правило:
-A PREROUTING -d 192.#.#.# -i eth0 -p tcp -m tcp --dport 7054 -j DNAT --to-destination 10.#.#.#:7054
Однако я не могу получить трафик, маршрутизируемый изИнтерфейс TUN к eth0 на выходной стороне туннеля со следующим правилом, я думаю, из-за того, что «туннель» является виртуальным, и трафик сначала должен пересечь eth0, поэтому PREROUTING недействителен ???Я не уверен, как думать об интерфейсе TUN в отношении последовательности маршрутизации, т.е. это все еще PREROUTEING или POSTROUTING или где-то посередине?
-A PREROUTING -d 10.#.#.# -i wg0 -p tcp -m tcp --dport 7054 -j DNAT --to-destination 192.#.#.#:7054
Я попробовал следующее, чтобы увидеть, будет ли PREROUTING работать на интерфейсе wg0, но это не так.Я также попробовал это с POSTROUTING, но не решением.
iptables -t raw -A PREROUTING -i eth0 -j NOTRACK