适配 Ubuntu/Debian 的iptables 方案（wg组网后转发使用）

admin

适配 Ubuntu/Debian 的iptables 方案（wg组网后转发使用）




已经用 WireGuard 组网，服务器内网 IP 10.10.10.1，NAS 10.10.10.2，那转发更简单、更稳，我直接给你最干净、一次生效的命令。


服务器是 Debian/Ubuntu 系统（用 apt 包管理器），默认没有安装 firewalld，所以之前的 firewall-cmd 命令用不了。我马上给你适配 Ubuntu/Debian 的iptables 方案，这是这类系统的标配，直接复制就能用。

第一步：先确认 IP 转发已开启（你已设置，验证一下）

1. # 验证IP转发是否生效
   
2. sysctl net.ipv4.ip_forward
   
3. # 输出 net.ipv4.ip_forward = 1 就是开启成功

复制代码

第二步：配置 5255 端口转发（iptables 版）

1. # 1. 添加5255端口的DNAT转发规则（公网→NAS）
   
2. iptables -t nat -A PREROUTING -d 68.64.179.204 -p tcp --dport 5255 -j DNAT --to-destination 10.10.10.2:5255
   
3. 
   
4. # 2. 添加SNAT伪装规则（返回流量回传）
   
5. iptables -t nat -A POSTROUTING -d 10.10.10.2 -p tcp --dport 5255 -j SNAT --to-source 10.10.10.1
   
6. 
   
7. # 3. 放行5255端口的入站流量
   
8. iptables -A INPUT -p tcp --dport 5255 -j ACCEPT
   
9. 
   
10. # 4. 放行转发的流量
    
11. iptables -A FORWARD -p tcp -d 10.10.10.2 --dport 5255 -j ACCEPT

复制代码

1. # 安装iptables持久化工具
   
2. apt update && apt install -y iptables-persistent
   
3. 
   
4. # 保存当前iptables规则（会弹窗确认，选Yes）
   
5. iptables-save > /etc/iptables/rules.v4

复制代码

第四步：验证转发规则

1. # 查看nat表的PREROUTING规则，能看到5255相关条目就是配置成功
   
2. iptables -t nat -L PREROUTING -n --line-number

复制代码

ps：公网ip地址记得改成你的服务器实际公网IP