我已经使用 Wireguard 和 Nftables 设置了一个运行 Pi OS 11 的 pi 作为本地网络的 VPN 网关,一切正常。
但是,我希望切换到firewalld以兼容docker而不使用iptables。
到目前为止我所拥有的是这样的:
- 内部区域:eth0
- 外部区域:wg0
我不知道如何让firewalld 在 eth0 和 wg0 之间转发流量。使用原始 nftables,我只有以下内容,默认情况下我的前向链会下降:
nft insert rule inet firewall forward iifname "eth0" oifname "wg0" accept
nft insert rule inet firewall forward iifname "wg0" oifname "eth0" ct state related,established accept
但我无法找到如何按照上述规则在接口之间进行条件转发。
我不希望 eth0 位于带有 wg0 的外部区域中,因为如果 VPN 出现故障,我希望互联网访问被终止切换,而且这有点违背区域的整体理念,不是吗? eth0 仅用于 LAN,wg0 用于外部连接。