केवल WireGuard के निजी नेटवर्क को अनुमति देने वाली वेबसाइट होस्टिंग

8 min

wireguardtcpipnginx
language: ja bn en es hi pt ru zh-cn zh-tw

नमस्ते, मैं अक्षम हूँ। एडमिन पेज का सार्वजनिक रूप से उपलब्ध होना अच्छा नहीं है, लेकिन मेरे मामले में, मैंने वर्तमान में एडमिन पेज के लिए केवल WireGuard के निजी IP को अनुमति दी है। यह उसकी सेटिंग का तरीका है।

WireGuard साइड सेटिंग्स

इसका मतलब है कि कई क्लाइंट का उपयोग किया जा रहा है।

क्लाइंट साइड

इस मामले में, wg0 के लिए, AllowedIPs = 0.0.0.0/0, ::/0 है, इसलिए सभी ट्रैफ़िक WireGuard नेटवर्क से होकर गुजरता है। हालांकि, इस मामले में, सर्वर साइड पर इस 10.1.0.22 के लिए सर्वर-साइड NAT से गुजरने का नियम लिखना आवश्यक है। क्योंकि अगर ऐसा नहीं किया गया, तो यह IP WireGuard के निजी नेटवर्क से बाहर नहीं निकल पाएगा। संक्षेप में, यह इस प्रकार है।

  • wg0
    • सभी नेटवर्क से होकर गुजरता है
    • आंतरिक DNS से पूछता है
    • WireGuard सर्वर साइड पर NAT से गुजरने का नियम लिखे बिना बाहर नहीं निकल सकता
  • wg1
    • केवल WireGuard के निजी IP को रूट करता है
      • केवल 10.1.0.0/24 के CIDR मान की सीमा के भीतर से गुजरता है
    • आंतरिक DNS से पूछता है

wg0.conf :

[Interface]
PrivateKey = Client Private Key
Address = 10.1.0.22/24
DNS = 10.1.0.1

[Peer]
PublicKey = Server PubKey
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = WireGuard Server Endpoint:51820
PreSharedKey = PreSharedKey

wg1.conf :

[Interface]
PrivateKey = Client Private Key
Address = 10.1.0.21/24
DNS = 10.1.0.1

[Peer]
PublicKey = Server PubKey
AllowedIPs = 10.1.0.0/24
Endpoint = WireGuard Server Endpoint:51820
PreSharedKey = PreSharedKey

सर्वर साइड

[Interface]
ListenPort = 51820
Address = 10.1.0.1/24
PrivateKey = Server PrivKey

~~~

[Peer]
PublicKey = Client PubKey
PreSharedKey = PreSharedKey
AllowedIPs = 10.1.0.21/32
PersistentKeepalive = 25

[Peer]
PublicKey = Client PubKey
PreSharedKey = PreSharedKey
AllowedIPs = 10.1.0.22/32
PersistentKeepalive = 25

यह ऐसा हो जाता है।

WireGuard सर्वर साइड NAT नियम

यह BSD-आधारित विशेषाधिकार है, लेकिन हम pf में NAT नियम लिखते हैं।

# वेरिएबल परिभाषा
wireguard_clients="{ 10.1.0.4, 10.1.0.22 }"
wanint="vtnet0"
wg_ports="{51820}"

# $wireguard_clients से आने वाले ट्रैफ़िक को WAN इंटरफ़ेस($wanint) के IP में बदलकर इंटरनेट पर भेजें
# NAPT सेटिंग्स
nat on $wanint inet from $wireguard_clients to any -> $wanint

# WAN साइड से आने वाले WireGuard कनेक्शन (UDP 51820) को अनुमति दें
pass in on $wanint proto udp from any to $wanint port $wg_ports

इससे, WireGuard का निजी IP स्वयं WireGuard सर्वर साइड के NAT से गुजरने में सक्षम हो जाता है।

Nginx सेटिंग्स

a.soulminingrig.com इस साइट के LumeCMS के एडमिन पेज की सेटिंग्स है। allow 10.1.0.0/16; के साथ केवल WireGuard नेटवर्क को अनुमति दें, और बाकी सभी को deny all; करें।

server {
    listen 80;
    server_name a.soulminingrig.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name a.soulminingrig.com;
    client_max_body_size 500M;

    location / {
        allow 10.1.0.0/16;
	    deny all;

        proxy_pass http://10.1.0.20:3001/;
        include proxy_headers.conf;
        proxy_cache_use_stale error timeout invalid_header updating http_500 http_502 http_503 http_504 http_403 http_404;
        proxy_connect_timeout 3s;
        proxy_read_timeout 15s;
    }
    include common_error_pages.conf;
    include ssl_common.conf;

    ssl_certificate /usr/local/etc/letsencrypt/live/a.soulminingrig.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /usr/local/etc/letsencrypt/live/a.soulminingrig.com/privkey.pem; # managed by Certbot
}

NAT नियम लिखने के बावजूद, WireGuard सर्वर के सार्वजनिक IP के रूप में पहचाने बिना IP प्रतिबंध क्यों लगाया जा सकता है?

ऐसा सवाल हो सकता है। (मैंने खुद बनाया)

NAT नियम में ऐसा लिखा है।

nat on $wanint inet from $wireguard_clients to any -> $wanint

इसका मतलब है कि on $wanint का अर्थ है कि NAT केवल WAN इंटरफ़ेस से गुजरने वाले पैकेट पर लागू होता है। यह थोड़ा जटिल है, लेकिन इसे समझने के लिए ifconfig करते हैं।

vtnet0: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        options=4c079b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,TSO6,LRO,VLAN_HWTSO,LINKSTATE,TXCSUM_IPV6>
        ether aa
        inet aa netmask 0xfffffe00 broadcast aa
        inet6 aa prefixlen 64 scopeid 0x1
        inet6 aa prefixlen 64
        media: Ethernet autoselect (10Gbase-T <full-duplex>)
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
lo0: flags=1008049<UP,LOOPBACK,RUNNING,MULTICAST,LOWER_UP> metric 0 mtu 16384
        options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2
        groups: lo
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
pflog0: flags=0 metric 0 mtu 33152
        options=0
        groups: pflog
wg0: flags=10080c1<UP,RUNNING,NOARP,MULTICAST,LOWER_UP> metric 0 mtu 1420
        options=80000<LINKSTATE>
        inet 10.1.0.1 netmask 0xffffff00
        groups: wg
        nd6 options=109<PERFORMNUD,IFDISABLED,NO_DAD>

हाँ, WireGuard एक वर्चुअल NIC है, इसलिए WireGuard पर इंटरफ़ेस wg0 है। इस मामले में, चूंकि यह wg0 से होकर आता है, यदि proxy_pass 10.1.0.20:3001 है, तो पैकेट इस वर्चुअल NIC के माध्यम से गुजरेंगे।

10.1.0.22 -> allow 10.1.0.0/16 (10.1.0.0 से 10.1.255.255) के नियम से मेल खाता है -> Nginx का proxy_pass 10.1.0.20 है, इसलिए यह निजी नेटवर्क के भीतर ही पूरा हो जाता है। इस दौरान, चूंकि सब कुछ wg0 पर वर्चुअल NIC के भीतर पूरा हो जाता है, यह निजी संचार संभव हो जाता है।

निष्कर्ष

तो, यह ऐसा है, आपको कैसा लगा? वास्तव में, मुझे व्यक्तिगत रूप से GNU/Linux के नियम लिखने का तरीका पसंद नहीं है, इसलिए BSD-आधारित pf इस अर्थ में बहुत आसान है... तो, फिर मिलेंगे। धन्यवाद।

Related Posts