我正在使用wg-quick打开 VPN 连接。我可以看到该实用程序正在设置一些nft规则,我想了解它们。我对 iptables 有一定的了解,但对 nftables 一无所知。
这是 Wireguard 配置文件:
[Interface]
PrivateKey = xxxxx
Address = 10.2.0.2/32
DNS = 10.2.0.1
[Peer]
PublicKey = yyyyyyyy
AllowedIPs = 0.0.0.0/0
Endpoint = 185.159.157.129:51820
当我调用时,wg-quick我看到了这个:
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.2.0.2/32 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a tun.wg0 -m 0 -x
[#] wg set wg0 fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63
这是nft规则的转储:
table ip wg-quick-wg0 {
chain preraw {
type filter hook prerouting priority raw; policy accept;
iifname != "wg0" ip daddr 10.2.0.2 fib saddr type != local drop
}
chain premangle {
type filter hook prerouting priority mangle; policy accept;
meta l4proto udp meta mark set ct mark
}
chain postmangle {
type filter hook postrouting priority mangle; policy accept;
meta l4proto udp meta mark 0x0000ca6c ct mark set meta mark
}
}
这些nft规则是什么意思,它们的用途是什么,为什么需要它们?
第一条规则阻止从其他接口和非本地范围地址对 10.2.0.2 的入站访问。仅接受来自通过计算机接口直接访问的 IP 地址的数据包。这为了安全,
第 2 和第 3 是策略路由wireguard 流量的连接标记规则。它们与路由规则紧密耦合
使用此规则,所有未标记为51820 的入站和出站流量都通过 wg0 路由。
但是我们需要
Wg 通过设置选项将其传出数据包标记为 51820 值
为了将传入回复的数据包与所有其他传入数据包区分开来,我们需要标记整个 wg 的连接,以便我们可以为那些仅“属于”这些连接的传入数据包恢复相同的数据包标记。
第三条规则标记传出wireguard的连接,其中数据包具有标记51820(十六进制中的0x0000ca6c),因此我们可以通过conntrack帮助区分这些连接的入站回复。
第二条规则将所有入站数据包的连接标记复制回数据包标记。
因此,作为传出wireguard连接回复的数据包将具有标记51820,并且不会路由到wg0,而是路由到主机本身。
还有 https://stackoverflow.com/questions/65178004/what-does-ip-4-rule-add-table-main-suppress-prefixlength-0-meaning
检查路由发生的位置: https ://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg