Я хочу использовать ящик ubuntu 18.04 (192.168.1.50) с клиентом WireGuard для коммерческого VPN в качестве шлюза в локальную сеть. WG использует wg-quick и включена как услуга. Unbound установлен, а для systemd-resolved установлено значение DNSStubListener = no. resolv.conf настроен на использование того же DNS-сервера, который назначен поставщиком VPN (согласно wg0.conf).
Главный маршрутизатор находится по адресу 192.168.1.1 и блокирует внешний доступ к шлюзу VPN (я знаю, что INPUT открыт).
Шлюз работает, но правила IPtables нуждаются в доработке. Как ужесточить правила, когда цель только позволить ящику работать как шлюз? Я хочу использовать IPtables только для конфигурации, необходимой для этой работы, все остальное должно идти в UFW, который еще не установлен. Эти правила IPtables будут помещены в файл PostUp / PostDown в wg0.conf.
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:domain
ACCEPT udp -- 192.168.1.0/24 anywhere udp dpt:domain
DROP udp -- anywhere anywhere udp dpt:domain
DROP tcp -- anywhere anywhere tcp dpt:domain
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ОБНОВИТЬ: Хотя приведенная выше конфигурация работает, я сбросил iptables, чтобы начать заново.