Wireguard サーバー MAQUERADE/SNAT 低 iptables トラフィック統計

Wireguard サーバー MAQUERADE/SNAT 低 iptables トラフィック統計

私のホームUbuntu 22.04サーバーをWireguardサーバーとして設定しました。私はUbuntu 22.04ノートブックWireguardクライアントからホームネットワークファイアウォールを介してインターネットからWireguardサーバーに接続しているので、私のラップトップは家にいるようです。海外にいるときに国内の制限されたコンテンツを見るように設定したのです。たとえば、国営テレビはスマートすぎるので、私の故国で終わるProton VPNにだまされて、これらのコンテンツのいくつかを取得することはできません。

Wireguard サーバーは、次の iptables ルールのいずれかを介してクライアント Wireguard トラフィックをインターネットにルーティングするように構成されています。

iptables -t nat -A POSTROUTING -s 10.x.x.x/24 -o enp3s0 -j MASQUERADE
 or 
iptables -t nat -A POSTROUTING -s 10.x.x.x/24 -o enp3s0 -j SNAT --to-source 10.y.y.y

どちらも同じようにうまくいくようです。

10.xxx/24はwireguard VPNで、10.yyyは固定IPアドレスを持つ私のLANに接続されている発信イーサネットポートenp3s0のIPアドレスです。

両方のホストでUFWを無効にし、「iptables-save」を使用してiptablesルールが上記と一致することを確認したことに注意してください。そして、サーバーはipv4配信用に構成されています。

私の「問題」は主に理解の問題であり、誰かが説明できることを願っています。今私が知っている限り、全体の設定は魅力的に動作します。自宅のファイアウォールを介してインターネットから接続すると、クライアントはWireguardサーバーのリソースにアクセスでき、クライアントのインターネットトラフィックはWebサイトに直接は移動しませんが、 IPアドレスは、Whatismyipaddress.com Webサイトに表示されている私のホームルーター/ファイアウォールのIPアドレスです。したがって、ノートブックのWireguardクライアントからさまざまなWebサイトへのルート追跡は、最初のホップがWireguardサーバーのwg0インターフェイスのIPアドレスであり、正しく機能している場合に予想されることを示しています。 「問題」は、WireguardクライアントでYouTubeビデオを再生すると、MASQUERADE / SNATルール(sudo iptables -L -nv -t nat)で多くのiptablesトラフィックが発生すると予想されることです。ただし、MASQUERADE/SNAT ルールの iptables トラフィックを総 Wireguard サーバートラフィックと比較すると、これは総 Wireguard トラフィックのわずかな割合にすぎません。

サーバーを介してインターネットに移動するほぼすべてのクライアントWireguardトラフィックは、私のホームLANに接続されているWireguardサーバーからの送信enp3s0イーサネットインターフェイスのIPアドレスを使用して偽装する必要があると予想しましたか?

すべてが期待どおりに機能すると確信していますが、なぜSNAT / MAQUERADEトラフィックがトラフィック全体の小さな割合であるかを説明できる人がいることを望みました。

答え1

私の質問でコミュニティにご迷惑をおかけして申し訳ありません。 iptablesのマニュアルページを読んだ後、NATは新しい接続を作成するときにのみ使用されますが、すべてのパケットには使用されないことがわかりました。私の考えでは、iptablesステートマシンがすべての後続のパケットもNATを経なければならないことを自動的に検出するようです。

関連情報