Estou bloqueando a saída da minha caixa Linux, fazendo com que a cadeia OUTPUT seja negada por padrão.
Meus pares wireguard são da sub-rede 10.1.0.0/16
. Originalmente, pensei que poderia apenas -A OUTPUT -d 10.1.0.0/16 -j ACCEPT
e, embora isso seja necessário, não é suficiente por si só.
Conforme confirmado pelo rastreamento, a conexão UDP física com o peer wireguard também precisa de permissão, o que faz sentido pensando bem.
Agora, eu poderia continuar e permitir manualmente a porta wireguard dos endpoints de mesmo nível. Mas eu me pergunto se existe algum mecanismo mais automático, que relacione os pacotes UDP físicos ao pacote de túnel já permitido e o permita automaticamente?