我正在锁定 Linux 机器的出口,使 OUTPUT 链默认拒绝。
我的wireguard 对等点来自子网10.1.0.0/16。本来我以为我可以-A OUTPUT -d 10.1.0.0/16 -j ACCEPT,虽然这是必要的,但它本身还不够。
通过跟踪确认,与wireguard 对等点的物理 UDP 连接也需要允许,再想一想,这是有道理的。
现在,我可以继续手动允许对等端点的wireguard 端口。但我想知道是否有一些更自动的机制,可以将物理 UDP 数据包与已经允许的隧道数据包相关联,并自动允许它?