Wireguard postup/predown 真的能起到“终止开关”的作用吗?

tag-icon tag-icon networking vpn wireguard
Wireguard postup/predown 真的能起到“终止开关”的作用吗?

我经常看到人们在 Wireguard 配置中使用postuppredown命令来实现“终止开关”,阻止任何不通过 Wireguard 的连接。这是一个例子。阅读了postup我发现的内容这个文档:

可以选择在接口启动后运行命令。

所以基于此有两个问题:

  1. 这可以防止计算机启动时泄漏吗?在wireguard 启动界面之前,系统是否会在某些时候发出网络请求(例如获取更新)?

  2. 如果您在不同的wireguard配置之间切换,这是否可以防止泄漏?

答案1

您是正确的,使用 PostUp/PreDown 脚本实现的“终止开关”仅在 WireGuard 接口启动时适用,并且不会防止计算机启动或在 WireGuard 接口之间切换时的“泄漏”。

如果阻止流量通过 WireGuard 接口以外的方式离开计算机对您来说至关重要,则应配置计算机的防火墙以执行以下操作:

  1. 默认阻止所有出站流量
  2. 允许出站流量到达您的外部 WireGuard 端点(IP 地址 + UDP 端口)
  3. 允许 DHCP 或任何您需要的 LAN 服务的本地流量

在计算机启动过程中,网络子系统运行和防火墙启动之间会有一小段时间。如果您想防止该时间段内发生泄漏,请将物理网络接口配置为不自动启动;计算机完成启动后手动启动它们(或者对于有线网络接口,只需在计算机启动时拔掉它)。

相关内容