Как запретить трафик в обход wireguard vpn на linux?

1

1

Моё подключение к vpn серверу частенько рвётся. Сервер мой, стоит wg. Как настроить киллсвитч на моём debian? Как сделать так, чтобы не шёл голый траффик в промежутки обрыва связи с впн сервером? Объясните, пожалуйста, пошагово

←	Почему journalctl потребляет так много места

Список учетных записей AD

→

Как настроить killswitch на Wireguard клиенте поднятом на роутере?

Так и не разобрался?

Dimez ★★★★★
(05.12.23 02:17:32 MSK)

Ответ на: комментарий от Dimez 05.12.23 02:17:32 MSK

Та тема посвящена настройке на роутере. Здесь стоит вопрос о настройке на самом линуксе

Tomohyeah
(05.12.23 02:19:57 MSK) автор топика

Ответ на: комментарий от Dimez 05.12.23 02:17:32 MSK

Использовать отдельный роутер, если он слабый, очень неудобно для этой цели. В моём случае перепробовал несколько – на всех соединение отлетает намертво после перезапуска роутера/переподключения шнура. Приходится сбрасывать к заводу, и вновь ставить пакет вайргварда, а после всё это дело конфигурировать, только так срабатывает снова. Иногда мне нужно взять с собой ноутбук в гости, тащить каждый раз роутер с такими приколами это слишком. Хороший роутер в ближайшее время позволить себе не смогу.

Tomohyeah
(05.12.23 02:24:02 MSK) автор топика

Ответ на: комментарий от Tomohyeah 05.12.23 02:24:02 MSK

Добавить маршрут до впн сервера, удалить дефолтный маршрут. Все. Как это делать - Зависит от того, чем поднимается сеть. А всякие киллсвитчи не надежные костыли.

anonymous
(05.12.23 06:44:45 MSK)

Добавляешь в пакетный фильтр правило, разрешающее прохождение пакетов с адресом назначения до твоего wireguard сервера и физическим выходным интерфейсом, остальные исходящие пакеты с выходным физическим интерфейсом блокируешь.

Можешь добавить обратные правила от ip адреса сервера.

kostik87 ★★★★★
(05.12.23 06:58:38 MSK)
Последнее исправление: kostik87 05.12.23 06:59:16 MSK (всего исправлений: 1)

https://www.wireguard.com/netns/

anonymous
(05.12.23 10:15:09 MSK)

Через IP tables сделал фильтрацию по UID. По добавленным правилам один пользователь может ходить в сеть только через интерфейс t+ (tunN/tapN), другой через все прочие интерфейсы кроме t+.

Aber ★★★★★
(05.12.23 11:47:54 MSK)

iptables -F OUTPUT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o wg0 -j ACCEPT
iptables -A OUTPUT -d <my-vpn-server> -j ACCEPT
iptables -A OUTPUT -d <my-lan-subnet> -j ACCEPT
iptables -A OUTPUT -p udp --dport 67 -j ACCEPT
iptables -A OUTPUT -j REJECT

no-dashi-v2 ★★★
(05.12.23 16:23:58 MSK)

я делаю вот так

sudo ufw default deny outgoing
sudo ufw default deny incoming
sudo ufw allow out on wg0
sudo ufw allow in from 192.168.0.0/16
sudo ufw allow out to 192.168.0.0/16
sudo ufw allow out to <serverip> port <serverport> proto udp
sudo ufw enable

anonymous
(05.12.23 16:41:19 MSK)

Ответ на: комментарий от no-dashi-v2 05.12.23 16:23:58 MSK

OUTPUT может оказаться недостаточно я бы ещё и в FORWARD тоже запретил, даже если оно сейчас вроде как не используется.

anc ★★★★★
(05.12.23 20:46:25 MSK)

←	Почему journalctl потребляет так много места

Admin

Список учетных записей AD

→

Похожие темы