Firewalld 阻止 WireGuard LAN 上的客户端之间的 SSH

Question

虽然通常情况下，firewalld 是配置 Linux 防火墙的绝佳工具，但对于这种特定用例（转发其他主机的流量），使用起来却有点麻烦。我建议在您的服务器上关闭它，直接使用 iptables（或 nftables）。

但是，如果您确实想使用firewalld，请尝试以下操作（以root身份）：

1. 为您的 WireGuard 接口创建一个接受所有流量的自定义区域：

firewall-cmd --permanent --new-zone=mywg
firewall-cmd --permanent --zone=mywg --set-target=ACCEPT
firewall-cmd --reload

2. 向区域添加“丰富”规则，以拒绝从 WireGuard 到服务器本身的入站连接：

firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv4" priority="30001" protocol value="tcp" reject'
firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv4" priority="30002" protocol value="udp" reject'
firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv6" priority="30003" protocol value="tcp" reject'
firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv6" priority="30004" protocol value="udp" reject'

3. 添加“直接”规则以允许转发其他 WireGuard 主机之间的 IPv4 SSH 连接，并拒绝其他所有内容：

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 1 -i wg0 -o wg0 -m state --state NEW -p tcp --dport 22 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 2 -i wg0 -j REJECT
firewall-cmd --direct --add-rule ipv6 filter FORWARD 0 -i wg0 -j REJECT

4. 将区域绑定到您的 WireGuard 接口并保存您的更改：

firewall-cmd --zone=mywg --add-interface=wg0
firewall-cmd --runtime-to-permanent

REJECT如果您想允许 WireGuard 主机之间进行其他类型的流量（或者只需将规则 0 和 1 替换为单个规则，例如如果您想允许服务器转发 WireGuard 主机之间的任何和所有流量），则可以在 0 和 2 之间添加更多 IPv4 直接规则（将规则重新编号为最后一条-i wg0 -o wg0 -J ACCEPT）。

请参阅本文的“中心辐射”部分如何将 WireGuard 与 Firewalld 结合使用文章以获得完整的解释（在本文中，主机 C 是您的服务器）。

Answer 1

虽然通常情况下，firewalld 是配置 Linux 防火墙的绝佳工具，但对于这种特定用例（转发其他主机的流量），使用起来却有点麻烦。我建议在您的服务器上关闭它，直接使用 iptables（或 nftables）。

但是，如果您确实想使用firewalld，请尝试以下操作（以root身份）：

1. 为您的 WireGuard 接口创建一个接受所有流量的自定义区域：

firewall-cmd --permanent --new-zone=mywg
firewall-cmd --permanent --zone=mywg --set-target=ACCEPT
firewall-cmd --reload

2. 向区域添加“丰富”规则，以拒绝从 WireGuard 到服务器本身的入站连接：

firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv4" priority="30001" protocol value="tcp" reject'
firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv4" priority="30002" protocol value="udp" reject'
firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv6" priority="30003" protocol value="tcp" reject'
firewall-cmd --zone=mywg --add-rich-rule='rule family="ipv6" priority="30004" protocol value="udp" reject'

3. 添加“直接”规则以允许转发其他 WireGuard 主机之间的 IPv4 SSH 连接，并拒绝其他所有内容：

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i wg0 -m state --state ESTABLISHED,RELATED -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 1 -i wg0 -o wg0 -m state --state NEW -p tcp --dport 22 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 2 -i wg0 -j REJECT
firewall-cmd --direct --add-rule ipv6 filter FORWARD 0 -i wg0 -j REJECT

4. 将区域绑定到您的 WireGuard 接口并保存您的更改：

firewall-cmd --zone=mywg --add-interface=wg0
firewall-cmd --runtime-to-permanent

REJECT如果您想允许 WireGuard 主机之间进行其他类型的流量（或者只需将规则 0 和 1 替换为单个规则，例如如果您想允许服务器转发 WireGuard 主机之间的任何和所有流量），则可以在 0 和 2 之间添加更多 IPv4 直接规则（将规则重新编号为最后一条-i wg0 -o wg0 -J ACCEPT）。

请参阅本文的“中心辐射”部分如何将 WireGuard 与 Firewalld 结合使用文章以获得完整的解释（在本文中，主机 C 是您的服务器）。

Firewalld 阻止 WireGuard LAN 上的客户端之间的 SSH

设置

可以做什么

故障排除

已确认的内容

答案1

1. 为您的 WireGuard 接口创建一个接受所有流量的自定义区域：

2. 向区域添加“丰富”规则，以拒绝从 WireGuard 到服务器本身的入站连接：

3. 添加“直接”规则以允许转发其他 WireGuard 主机之间的 IPv4 SSH 连接，并拒绝其他所有内容：

4. 将区域绑定到您的 WireGuard 接口并保存您的更改：

相关内容