Вопросы Теги

Уровень бесплатного пользования Oracle :Wireguard и iptables

Только первый файл имеет абсолютный путь, необходимый scp.

${server}:${server_dir}/$(ssh ${server} "ls -t ${server_dir} | head -5")оценивается как 

${server}:${server_dir}/iosTestOutput_20180831-175508-PDT.tgz
iosTestOutput_20180831-155546-PDT.tgz
iosTestOutput_20180831-142509-PDT.tgz
...

Для ясности я использовал символы возврата строки вместо пробелов.

По сути, вам нужно иметь цикл по сгенерированному списку, используя что-то, что выводит полный путь для каждого из пяти файлов.https://unix.stackexchange.com/a/240424/162359может быть хорошим началом.

(не проверено, просто грубый набросок )Что-то вроде:

for bkp in $(ssh ${server} "find ${absolute_path_remote_dir} -type f -exec stat -c '%X %n' {} \; | sort -nr | awk 'NR==1,NR==5 {print $2}'")
do
scp -r ${bkp} logs/ios
done

В rsync также может быть некоторая опция, которая поможет вам сделать то, что вы хотите, более элегантно.

1
09.06.2021, 20:28
2 ответа

Вставьте эти два правила iptables перед правилом -A FORWARD -j rejectв файл /etc/iptables/rules.v4вашего сервера:

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT

Если вы запустите sudo iptables-save, вы увидите список ваших активных правил iptables. Правила iptables из скрипта PostUpв файле конфигурации wg вашего сервера добавляются после правил, установленных в /etc/iptables/rules.vp4. Обратите внимание, что вы можете изменить это, используя флаг iptables -Iвместо флага -Aв ваших сценариях wg PostUp--флаг -Iвставляет правила в начало цепочки (или в указанный индекс, 0 по умолчанию ), тогда как флаг -Aдобавляет правила в конец.

1
28.07.2021, 11:26

Многие (большинство? )руководств по настройке wireguard ничего не говорит о добавлении правил брандмауэра, отличных от правил NAT PostUp/PostDown, в файле wg0.conf «сервера».

В моем случае (уровень бесплатного пользования Oracle )мне понадобилось правило в цепочке INPUT для порта wg и два правила для цепочки FORWARD, чтобы позволить пакетам на порту wg проходить через «сервер " и далее по адресам в Интернете.

Это правила, которые я добавил вручную в/etc/iptables/rules.v4:

-A INPUT -p udp -m state --state NEW -m udp --dport 51820 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT

Эти правила должны предшествовать любым правилам REJECT в цепочках INPUT и FORWARD, иначе они будут проигнорированы.

Кроме того, на панели управления Oracle для порта wg должно быть установлено правило Ingress.

При соблюдении всех этих правил путь для пакетов через туннель wg от узла «клиент» к узлу «сервер» в Интернет и обратно открыт.

0
28.07.2021, 11:26

Теги

Похожие вопросы