主页 / server / 问题 / 1150149
Accepted
ron
Asked: 2023-12-20 23:06:44 +0800 CST

iptables 能否将物理wireguard UDP 连接与隧道TCP 会话关联起来?

  • 772

我正在锁定 Linux 机器的出口,使 OUTPUT 链默认拒绝。

我的wireguard 对等点来自子网10.1.0.0/16。本来我以为我可以-A OUTPUT -d 10.1.0.0/16 -j ACCEPT,虽然这是必要的,但它本身还不够。

通过跟踪确认,与wireguard 对等点的物理 UDP 连接也需要允许,再想一想,这是有道理的。

现在,我可以继续手动允许对等端点的wireguard 端口。但我想知道是否有一些更自动的机制,可以将物理 UDP 数据包与已经允许的隧道数据包相关联,并自动允许它?

iptables

2 个回答

  1. Best Answer

    WireGuard 提供了使用iptables处理此问题的方法:通过在传出信封数据包上设置防火墙标记。这可以通过低级wg命令获得,因此也可以通过以下命令获得wg-quick

    • FwMark —用于传出数据包的32 位 fwmark 。如果设置为 0 或“关闭”,则禁用此选项。可以通过在前面加上“0x”以十六进制指定。选修的。

    wg-quick提供了一个用于以下位置的示例PostUp

    在最后一个示例的基础上,人们可以尝试所谓的“kill-switch”,以防止未加密的数据包流过非 WireGuard 接口,方法是将以下两行PostUpPreDown几行添加到该[Interface]部分:

    PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT

    对于这个问题的用例(由于使用默认的丢弃策略,因此具有相反的逻辑,并且不需要区分本地用例),配置文件中将类似于以下内容:

    [Interface]
...
FwMark = 0xcafe # or any non-zero value
...

PostUp = iptables -A OUTPUT ! -o %i -m mark --mark $(wg show %i fwmark) -j ACCEPT
PreDown = iptables -D OUTPUT ! -o %i -m mark --mark $(wg show %i fwmark) -j ACCEPT

    或者可以将此规则添加到 WireGuard 的配置之外,可能直接使用 WireGuard 接口名称(例如:wg0)而不是%i在规则中使用防火墙标记值 0xcafe,而不是从 WireGuard 查询该值。

    如果对等方漫游,规则仍将能够跟踪其传出信封数据包。

    • 3

  2. 如果“物理 UDP”指的是到 VPN 隧道之外的对等点的流量,那么就不行。虽然在这种情况下可以通过 iptables 将不同端口上的流量关联到同一地址(端口敲门就是一个很好的例子),但隧道内部和外部的流量将流向不同的 IP 地址。

    • 0

相关问题