背景故事: 我已经设置了防火墙规则,以防止流量泄漏到 wireguard vpn 隧道之外,因为之前发生过这种情况,即 wg 接口处于活动状态,但由于该节点之外的互联网连接丢失,因此没有与对等方建立活动隧道。我首先尝试使用静态路由,这似乎不是一个理想的设置,因为 wg 设置不完整(例如,接口没有获取其静态 IP)。
所以最后我采用了防火墙方法,但尽管隧道处于活动状态,但我仍然看到主网络接口上的活动。
这些是我的 nftables 输出规则:
chain output {
type filter hook output priority filter; policy drop;
oifname "lo" accept comment "allow to loopback"
meta l4proto { icmp, ipv6-icmp } counter packets 6 bytes 582 accept
# Skip default gateway
ip daddr 192.168.1.2-192.168.1.254 accept
oifname "wg0" accept
oifname "enp100s0" ip daddr $PEER_IP udp dport $PEER_PORT accept comment "wireguard traffic"
ip daddr { 1.1.1.1, 192.168.1.1 } udp dport 53 accept
ip daddr { 1.1.1.1, 192.168.1.1 } tcp dport 853 accept
counter packets 21709 bytes 2030855
}
如您所见,最终计数器显示接口上有“大量”流量enp100s0,日志显示流量流向许多公共目的地(考虑到节点上运行的内容,这是合乎逻辑的)。但为什么日志显示如此多的流量(UDP 和 TCP),而它应该通过隧道流向对等方(oifname "enp100s0"部分),据我所知?