我想使用运行 WireGuard 客户端的 ubuntu 18.04 机器(位于 192.168.1.50)作为 LAN 网关,该机器用于商业 VPN。WG 使用 wg-quick 并将其作为服务启用。Unbound 已安装,systemd-resolved 已设置为 DNSStubListener=no。resolv.conf 已设置为使用 VPN 提供商指定的相同 DNS 服务器(根据 wg0.conf)。
主路由器位于 192.168.1.1,并阻止对 VPN 网关的外部访问(我知道 INPUT 是打开的)。
网关正在运行,但是 IPtables 规则需要运行。当目标只是允许盒子作为网关工作时,如何加强规则?我只想使用 IPtables 进行必要的配置,其他配置都应放在尚未安装的 UFW 中。这些 IPtables 规则将放置在 wg0.conf 的 PostUp/PostDown 中。
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:domain
ACCEPT udp -- 192.168.1.0/24 anywhere udp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
更新:尽管上述配置有效,但我已经刷新 iptables 以重新开始。