Настроить Wireguard для блокировки всего трафика, отличного от ssh.
Я пытаюсь ограничить свой Wireguard VPN, чтобы разрешить только SSH-соединения между клиентами, и мне трудно установить правильные правила iptables PostUp для сервера Wireguard.
Мой интерфейс имеет следующие правила PostUp :
PostUp = iptables -A FORWARD -i %i -p tcp --dport 22 -j ACCEPT; iptables -A FORWARD -o %i -p tcp --dport 22 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -p tcp --dport 22 -j ACCEPT; iptables -D FORWARD -o %i -p tcp --dport 22 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Это по какой-то причине разрешает доступ ко всем портам.
Я также пробовал использовать iptables -A FORWARD -p tcp! -dport 22 -j DROP как дополнительное самое первое правило. Но по какой-то причине мне удалось настроить только блокировку всего трафика (включая ssh).
Есть ли способ разрешить клиентам доступ только к порту 22?
Byddwn yn cael fy nhemtio i ychwanegu cadwyn o'r enw efallai gwifren wifren neu rywbeth arall â rheolau fel y rhain. Byddai'r rhain yn cael eu hychwanegu gan rywbeth y tu allan i wifren.
# create wireguard chain
iptables -t filter -N wireguard
# permit anything coming from or going to port 22
iptables -t filter -A wireguard -p tcp --dport 1024:65535 --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -t filter -A wireguard -p tcp --sport 1024:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
# drop everything else
iptables -t filter -A wireguard -j DROP
Yna yn eich PostUp gwifren, ychwanegwch reolau fel hyn.
iptables -t filter -I FORWARD -i %i -j wireguard
iptables -t filter -I FORWARD -o %i -j wireguard