Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tunnel.wireguard.wgNUM.peer.NUM.allowed-ips.…далее…

Что это такое?

Это список разрешённых подсетей для данного партнёра.

Зачем это нужно?

Для фильтрации входящего и маршрутизации исходящего трафика.

Как это настроить?

Составить список из префиксов подсетей, расположенных за данным партнёром. Для добавления подсетей в список используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

Как минимум, для обмена данными с самим партнёром необходимо указать в списке IP-адрес его интерфейса Wireguard с маской /32.

Пакеты, полученные по туннелю, расшифровываются с помощью открытого ключа данного партнёра. Если в расшифрованных пакетах IP-адрес источника соответствует одной из указанных подсетей, пакет передаётся на маршрутизацию в обычном порядке. Если адрес не соответствует ни одной из подсетей для данного партнёра (ключа), пакет уничтожается.

Исходящий трафик, для начала, маршрутизируется по общей таблице маршрутизации в интерфейс Wireguard, без указания следующего шлюза.

ВНИМАНИЕ! Создание маршрутов в интерфейс Wireguard не входит в сферу ответственности самого Wireguard. Маршруты на все подсети, указанные в allowed-ips для всех партнёров данного интерфейса, необходимо создать вручную в узле ip.route.

Далее, в самом Wireguard ищется партнёр, в подсеть которого попадает IP-адрес назначения пакета. Если такой партнёр найден, пакет зашифровывается закрытым ключом данного хоста и отправляется ему. Если нет (например, в таблицу маршрутизации был каким-то образом добавлен неправильный маршрут) — пакет уничтожается.


© Network Systems Group 2015–2024 Отдел документации