Context
M-am integrat cu succes Apărător de sârmă în LAN-ul meu pentru a putea accesa NAS-ul meu (192.168.1.45) din exterior.
|Router| ===:5182=> |Server VPN| ====> |NAS|
192.168.1.254 192.168.1.21 (wlan0) 192.168.1.45
10.10.10.1 (wg0)
Redirecționarea pachetelor prin serverul meu VPN se bazează pe:
- redirecționare ip în
/etc/sysctl.conf (Cf scenariul meu)
- s-au adăugat următoarele reguli (-A) când interfața wireguard (wg0) este sus.
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o $main_nic -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o $main_nic -j MASQUERADE
(aceasta este comanda wireguard executată când mă opresc wg0)
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o $main_nic -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o $main_nic -j MASQUERADE
Nevoie
Acest lucru funcționează ca un farmec, dar cum aș putea restricționa lucrurile, astfel încât un client care intră în LAN-ul meu prin acest punct de intrare VPN să poată accesa doar 192.168.1.45 și nici un alt IP? Este compatibil cu redirecționare ip?
În mod ideal, dacă acest lucru ar putea fi gestionat în întregime în Documenta PostDown directivele wireguard (independent de regulile anterioare ale sistemului), acest lucru ar fi uimitor. Am încercat câteva, dar, să recunoaștem, sunt mai mult un dezvoltator decât un administrator de rețea
