开启Centos7.8的FullCone以更改WireGuard的NAT类型
浏览 5222 | 评论 2 | 字数 3355
卖女孩的小火柴 - 搬砖中
2020年10月21日

WireGuard的NAT类型依赖于宿主机的NAT,对于Linux来说,默认的就是对称NAT,这对我们打游戏来说并不友好,下文将解释如何增加内核模块以便开启FullCone

以下步骤均来自Centos7.8

总体思路来自: https://kotori.net/2020/01/08/%E7%AE%80%E5%8D%95%E6%93%8D%E4%BD%9C%E4%BD%BF-centos-%E6%94%AF%E6%8C%81-fullcone-nat/
增加少许依赖解决部分坑等

安装所需依赖

内核

  • WireGuard本身就对内核版本有较高的要求
  • 这里直接上到最新内核

    1. rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
    2. yum -y install epel-release
    3. yum -y install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm
    4. yum --enablerepo=elrepo-kernel install kernel-ml kernel-ml-headers kernel-ml-devel kernel-ml-tools kernel-ml-tools-libs
    5. grub2-set-default 0
    6. reboot

    安装内核过程中可能会出现各种各样奇奇怪怪的冲突依赖等问题...
    各位自行解决
    之后使用 uname -a 查看是否已经更换新内核成功

编译工具

netfilter-full-cone-nat也对gcc等版本提出了要求,C7自带的古董gcc4.8.5是无法编译通过的,上gcc8

  1. yum install gcc gcc-c++ autoconf autogen libmnl libmnl-devel libtool-devel libtool -y
  2. yum install centos-release-scl -y
  3. yum install devtoolset-8-gcc* -y
  4. scl enable devtoolset-8 bash

更换Firewalld为iptables

这步做过的同学就不用再做了

  1. systemctl disable firewalld
  2. systemctl stop firewalld
  3. yum -y install iptables-services
  4. systemctl enable iptables
  5. iptables -P INPUT ACCEPT
  6. iptables -P OUTPUT ACCEPT
  7. service iptables save
  8. systemctl start iptables

下载源代码

  1. cd /root/
  2. git clone git://git.netfilter.org/libnftnl.git
  3. git clone git://git.netfilter.org/iptables.git
  4. git clone https://github.com/Chion82/netfilter-full-cone-nat.git

注意有没有报错

编译

编译libnftnl

  1. yum install libmnl-devel -y
  2. cd libnftnl
  3. git checkout a71599dc0ae1a808e970e96850ea83d77f452994
  4. sh autogen.sh
  5. ./configure
  6. make
  7. make install

要是还缺依赖就自行安装

编译netfilter-full-cone-nat

  1. cd /root/netfilter-full-cone-nat
  2. make
  3. modprobe nf_nat
  4. insmod xt_FULLCONENAT.ko

编译iptables 1.8.4

  1. cp /root/netfilter-full-cone-nat/libipt_FULLCONENAT.c /root/iptables/extensions/
  2. cd /root/iptables
  3. git checkout 2b506c6681c7b01803f06b258a39e9da9012e5c5
  4. ln -sfv /usr/sbin/xtables-multi /usr/bin/iptables-xml
  5. ./autogen.sh
  6. PKG_CONFIG_PATH=/usr/local/lib/pkgconfig
  7. export PKG_CONFIG_PATH
  8. ./configure
  9. make
  10. make install

要是还缺依赖就自行安装

更新iptables

  1. #先关闭iptables
  2. systemctl stop iptables
  3. #删除原来的iptables
  4. rm -rf /sbin/iptables
  5. rm -rf /sbin/iptables-restore
  6. rm -rf /sbin/iptables-save
  7. #复制你自己编译的iptables
  8. cd /usr/local/sbin
  9. cp /usr/local/sbin/iptables /sbin/
  10. cp /usr/local/sbin/iptables-restore /sbin/
  11. cp /usr/local/sbin/iptables-save /sbin/
  12. #检验iptables版本
  13. iptables -V

设置开机自动加载Fullcone模块

  1. kernel=`uname -r`
  2. cp /root/netfilter-full-cone-nat/xt_FULLCONENAT.ko /lib/modules/$kernel/
  3. depmod
  4. echo "modprobe xt_FULLCONENAT" > /etc/sysconfig/modules/xt_FULLCONENAT.modules
  5. chmod 755 /etc/sysconfig/modules/xt_FULLCONENAT.modules
  6. reboot

检查是否加载成功

  1. lsmod | grep xt_FULLCONENAT

如果有输出类似于:

  1. xt_FULLCONENAT 40960 2
  2. nf_nat 45056 2 xt_FULLCONENAT,iptable_nat
  3. nf_conntrack 155648 2 nf_nat,xt_FULLCONENAT

则成功

设置FullCone的iptables转发规则

  1. iptables -t nat -A POSTROUTING -o eth0 -j FULLCONENAT #same as MASQUERADE
  2. iptables -t nat -A PREROUTING -i eth0 -j FULLCONENAT #automatically restore NAT for inbound packets
  3. service iptables save

Enjoy

连接上检查NAT类型

本文作者:卖女孩的小火柴 - 搬砖中
本文链接:https://www.shinenet.cn/archives/153.html
最后修改时间:2020-10-21 22:48:51
本站未注明转载的文章均为原创,并采用 CC BY-NC-SA 4.0 授权协议,转载请注明来源,谢谢!
评论
如果可能,请填写真实邮箱,有回复会送至邮箱。请不要水评论,谢谢。
textsms
支持 Markdown 语法
email
link
评论列表
已有 2 条评论
Qicloud
2020-11-19 17:30
老哥,我是七云博客站长,域名出了点问题要换域名现在还在备案,原域名现在不是我的
2020-11-19 17:57
@Qicloud 好的 暂时先禁用了 备案好了跟我说