i81
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброе утро! Цитата: Исправил, но что-то не увидел разницы Цитата: Вам для запрета общения меду клиентами нужно только простое правило | Оно у меня есть и в конфиге WG сервера, и даже в выводе ptables -vnL FORWARD Код: root@vd:~# iptables -vnL FORWARD Chain FORWARD (policy DROP 644 packets, 38519 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- wg-internal wg-internal 192.168.6.0/24 10.20.30.49 0 0 ACCEPT all -- wg-internal wg-internal 10.20.30.49 192.168.6.0/24 0 0 ACCEPT all -- wg-internal wg-internal 192.168.6.0/24 10.20.30.0/28 0 0 ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 192.168.6.0/24 0 0 ACCEPT all -- wg-internal wg-internal 192.168.1.0/24 10.20.30.0/28 0 0 ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 192.168.1.0/24 3052 2289K ACCEPT all -- wg-internal wg-internal 192.168.3.0/24 10.20.30.0/28 3066 255K ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 192.168.3.0/24 0 0 ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 10.20.30.0/28 0 0 ACCEPT all -- wg-internal wg-internal 10.20.30.10 10.20.30.0/24 0 0 ACCEPT all -- wg-internal wg-internal 10.20.30.0/24 10.20.30.10 0 0 DROP all -- wg-internal wg-internal 10.20.30.0/24 10.20.30.0/24 58 5224 ACCEPT all -- wg-internal ens3 10.20.30.0/24 0.0.0.0/0 60 18075 ACCEPT all -- ens3 wg-internal 0.0.0.0/0 10.20.30.0/24 root@vd:~# | Но перед тем как обратиться сюда я проверил: создал клиента к WG-серверу с адресом 10.20.30.45/32 (не входит в 10.20.30.0/28) и у него трафик ходил в 192.168.3.0/24, 192.168.1.0/24, 192.168.6.0/24 При этом, если я удаляю правило Код: iptables -A FORWARD -i %i -o %i -j ACCEPT | из конфига WG то трафик у 10.20.30.45 перестаёт ходить в 192.168.3.0/24, 192.168.1.0/24, 192.168.6.0/24 Добавлено: Постойте, а может мне тогда отдельно запрещать трафик в 192.168.3.0/24, 192.168.1.0/24, 192.168.6.0/24 и не парится? Добавлено: нет, не помогло как я подумал Добавил правило Код: PostUp = iptables -A FORWARD -i %i -o %i -s 10.20.30.0/24 -d 192.168.0.0/16 -j DROP | Но трафик от 10.20.30.45 идёт спокойно через WG Сервер в 192.168.3.0/24, 192.168.1.0/24, 192.168.6.0/24 Код: root@vd:~# iptables -t nat -vnL POSTROUTING Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 111 6816 MASQUERADE all -- * ens3 0.0.0.0/0 0.0.0.0/0 root@vd:~# | Код: root@vd:~# iptables -vnL FORWARD Chain FORWARD (policy DROP 1294 packets, 76272 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- wg-internal wg-internal 192.168.6.0/24 10.20.30.49 0 0 ACCEPT all -- wg-internal wg-internal 10.20.30.49 192.168.6.0/24 39 21088 ACCEPT all -- wg-internal wg-internal 192.168.6.0/24 10.20.30.0/28 40 5263 ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 192.168.6.0/24 2 514 ACCEPT all -- wg-internal wg-internal 192.168.1.0/24 10.20.30.0/28 5 336 ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 192.168.1.0/24 6782 4626K ACCEPT all -- wg-internal wg-internal 192.168.3.0/24 10.20.30.0/28 7129 605K ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 192.168.3.0/24 27 2526 ACCEPT all -- wg-internal wg-internal 10.20.30.0/28 10.20.30.0/28 3 360 ACCEPT all -- wg-internal wg-internal 10.20.30.10 10.20.30.0/24 3 234 ACCEPT all -- wg-internal wg-internal 10.20.30.0/24 10.20.30.10 23265 11M ACCEPT all -- wg-internal wg-internal 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- wg-internal wg-internal 10.20.30.0/24 10.20.30.0/24 0 0 DROP all -- wg-internal wg-internal 10.20.30.0/24 192.168.0.0/16 2111 418K ACCEPT all -- wg-internal ens3 10.20.30.0/24 0.0.0.0/0 1406 1216K ACCEPT all -- ens3 wg-internal 0.0.0.0/0 10.20.30.0/24 root@vd:~# |
| Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 04:27 23-03-2023 | Исправлено: i81, 04:58 23-03-2023 |
|