如何防止 wireguard 泄漏流量?

如何防止 wireguard 泄漏流量?

将 wireguard VPN 与自托管 VPN 服务器结合使用。

我在探亲时得知了这一“泄密”消息。

我碰巧在我的种子列表中播种了一部电影。

一部单独的电影,并不是特别精彩,但它确实存在。

我来晚了,但到了早上,我的主人就收到互联网提供商的通知,“停止下载盗版内容”。

我在那里的时间很短,而且我从未关闭过 VPN,所以我能想象的是它在启动期间或在连接 wireguard 之前泄露了这些流量。

如何确保服务在流量出去之前加载,或者如何防止流量外泄(除非通过 VPN)?

答案1

防止泄漏的最佳选择是强制所有敏感流量通过 VPN 适配器。

你可以使用类似以下工具检查你的 torrent 客户端当前是否泄漏艾普利克

qBittorrent可以强制所有 torrent 流量使用特定网络适配器。此设置的是Options>Advanced>Network Interface。如果适配器不可用,则 qBittorrent 将出现连接错误。

如果在限制 qBittorrent 使用特定适配器后仍存在泄漏问题,您可以限制它仅使用隧道支持的网络堆栈。此设置的值为Options>Advanced>Optional IP address to bind to。如果您的隧道同时支持 IPv4 和 IPv6,则将此设置保留为All Addresses

如果您想为分割隧道设置路由,请参阅如何在 Windows 版 WireGuard 中禁用路由表更改。该问题和答案是针对 Windows 定制的,但其解决方案可以适用于 Linux。

答案2

正如 @frank-thomas 提到的,vpn 总是断开连接,但我对 wireguard 与 openvpn 的用户体验是,连接似乎始终保持着。

我不知道如何检查它是否只是有时可能会泄漏流量,但我发现了这一点:

Linux - Wireguard 终止开关

  1. 使用任何文本编辑器打开 WireGuard 配置文件:

$ sudo nano /etc/wireguard/wg0.conf

在 [Interface] 部分添加以下两行:

PostUp  =  iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show  %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT && ip6tables -D OUTPUT ! -o %i -m mark ! --mark $(wg show  %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT

这个问题没有答案,因为我不知道它的效果如何,也不知道其他人是否会有更好的解决方案

相关内容