我有一个 WireGuard VPN 服务器。所有客户端都从其wg0接口连接到任何地方。我需要阻止来自此接口的所有流量(LAN IP 地址范围除外)的互联网访问。同时,主机应该可以访问任何地方。我还需要阻止客户端之间的流量。我该怎么做?我想我需要配置PostUp和PostDown配置值,但我没有足够的经验来正确做到这一点。我当前的设置如下:
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
我应该在这里添加什么才能正确配置 iptables 呢?
PS:我知道在客户端上配置AllowedIPs设置的选项。但问题是,如果客户端将此设置更改为0.0.0.0/0,则所有流量都将通过隧道。但我需要在服务器级别阻止这种可能性。