我有一个 Ubuntu 系统(192.168.AB),它作为 Wireguard“服务器”运行,具有 2 个隧道,具有以下网络和 UFW 规则:
网络 10.255.200.0/24
ufw allow XXX/udp && ufw route allow in on wg200 out on any && ufw route allow in on wg200 out on eth0 && ufw route allow in on eth0 out on wg200
网络 10.255.245.0/24
ufw allow YYY/udp && ufw route allow in on wg245 out on wg245 to any from any && ufw route reject in on wg245 out on any to any from any
我已将以下内容添加到 /etc/ufw/before.rules 以允许 10.255.200.0/24 网络中的设备到达主机外部
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.255.200.0/24 -o eth0 -j MASQUERADE
COMMIT
这似乎可行,但现在我需要允许主机网络(192.168.A.0/24)中的其他主机能够访问 10.255.245.0/24 网络中的系统,而该网络默认情况下无法访问192.168.A.0/24。
我需要使用哪些 UFW 规则来保持主机网络安全并尽可能保持 WG 网络分离?另外,有没有更好的伪装方法?
提前致谢!
在你的问题描述和你设置的 UFW 规则之间,在我看来你想让你的 WireGuard 服务器做这 4 件事?:
如果这些是您想要允许的唯一 4 件事,那么这些是您需要的唯一 UFW 路由规则:
另外,您需要向您的(如果您想伪装#4)添加第二
MASQUERADE
条规则:/etc/ufw/before.rules
请注意,UFW 会自动为您设置这两件事:
所以要对你现有的路线规则挑剔:
to any from any
在 (4) 上不需要