Dedicated Server Port Forwarding to VPS Using iptables (with OpenVPN)

Unused 2021. 7. 21. 12:26

iptables를 이용하여 포트 포워딩하기 (feat. 데디케이티드 서버, VPS, OpenVPN)

원래는 Dedicated Server <==> Client 이게 일반적이다.
그런데 위처럼 Dedicated Server <==> VPS <==> Client 이렇게 중계 서버를 놓아야 하는 경우가 있다.
예를 들면, 서버로 쓸 PC가 기숙사에 있어서 public IP를 못 쓴다든가.

적용할 환경은 다음과 같다.

서버 PC와 VPS는 OpenVPN으로 연결됨.
서버 PC가 OpenVPN Client / VPS가 OpenVPN Server
서버 PC의 OpenVPN private IP는 10.8.100.2
VPS는 iptables를 쓰는 Linux, TCP/UDP 둘 다 적용, 네트워크 인터페이스는 eth0, Public IP는 12.34.56.78, OpenVPN private IP는 10.8.100.1
서비스할 포트는 양쪽 다 33333

$ sudo iptables -t nat -A PREROUTING -d 12.34.56.78 -p tcp --dport 33333 -j DNAT --to-dest 10.8.100.2:33333
$ sudo iptables -t nat -A PREROUTING -d 12.34.56.78 -p udp --dport 33333 -j DNAT --to-dest 10.8.100.2:33333
$ sudo iptables -t nat -A POSTROUTING -p tcp --destination 10.8.100.2 --dport 33333 -o eth0 -j SNAT --to-source 10.8.100.1
$ sudo iptables -t nat -A POSTROUTING -p udp --destination 10.8.100.2 --dport 33333 -o eth0 -j SNAT --to-source 10.8.100.1
$ sudo iptables -t filter -A FORWARD -p tcp -d 10.8.100.2 --dport 33333 -j ACCEPT 
$ sudo iptables -t filter -A FORWARD -p udp -d 10.8.100.2 --dport 33333 -j ACCEPT 
$ sudo iptables-save

재부팅하면 초기화된다. 이를 막으려면 crontab 등 부팅시 저 스크립트를 자동실행하게 만들어야 한다.

외부에서 12.34.56.78:33333으로 접속하면 연결된다.

참고로 소스 데디케이티드 서버(Source Dedicated Server)의 경우 status를 쳐서 내부 IP를 확인해야 한다.
내부 IP가 OpenVPN의 그것과 동일해야 제대로 연결된 거다.

이를 응용하면 public IP가 제공되지 않는 환경(기숙사, 공공시설, 모바일, ...)이라도 VPS+OpenVPN+라우팅(iptables) 조합으로 해당 VPS의 public IP를 내것처럼 사용할 수 있다. 물론 VPS를 따로 임대해야 되지만.... 어차피 라우터 역할만 하므로 성능이 중요하지 않으니 저렴한 것 아무거나 구하면 된다.

참고자료
https://blog.kerus.net/2438/iptables-port-forward-to-another-public-ip
https://unix.stackexchange.com/questions/449853/port-forwarding-using-openvpn-client
https://whattheserver.com/openvpn-server-with-port-forwarding/