ฉันผสานรวมสำเร็จแล้ว ไวร์การ์ด ใน LAN ของฉัน เพื่อให้ฉันสามารถเข้าถึง NAS (192.168.1.45) จากภายนอกได้
|เราเตอร์| ===:5182=> |เซิร์ฟเวอร์ VPN| ====> |NAS|
192.168.1.254 192.168.1.21 (wlan0) 192.168.1.45
10.10.10.1 (wg0)
การส่งต่อแพ็คเก็ตผ่านเซิร์ฟเวอร์ VPN ของฉันขึ้นอยู่กับ:
/etc/sysctl.conf (เปรียบเทียบ สคริปต์ของฉัน)PostUp = iptables -A ส่งต่อ -i wg0 -j ยอมรับ; iptables -t nat -A โพสต์ -o $main_nic -j MASQUERADE; ip6tables -A ไปข้างหน้า -i wg0 -j ยอมรับ; ip6tables -t nat -A โพสต์ -o $main_nic -j MASQUERADE
(นี่คือคำสั่ง wireguard ดำเนินการเมื่อฉันหยุด wg0)
PostDown = iptables -D ส่งต่อ -i wg0 -j ยอมรับ; iptables -t nat -D โพสต์ -o $main_nic -j MASQUERADE; ip6tables -D ส่งต่อ -i wg0 -j ยอมรับ; ip6tables -t nat -D โพสต์ -o $main_nic -j MASQUERADE
วิธีนี้ใช้งานได้ดี แต่ฉันจะจำกัดสิ่งต่างๆ ได้อย่างไรเพื่อให้ไคลเอนต์เข้าสู่ LAN ของฉันผ่านจุดเข้าใช้งาน VPN นี้สามารถเข้าถึง 192.168.1.45 เท่านั้นและไม่มี IP อื่น เข้ากับ การส่งต่อไอพี?
จะเป็นการดีถ้าสิ่งนี้สามารถจัดการได้ทั้งหมดใน โพสต์อัพ โพสต์ลง คำสั่งของ wireguard (โดยไม่ขึ้นกับกฎก่อนหน้านี้ในระบบ) สิ่งนี้จะน่าทึ่งมาก ลองบ้างแล้ว แต่เอาเถอะ ฉันเป็นนักพัฒนามากกว่าผู้ดูแลระบบเครือข่าย
แน่นอนว่าคุณทำได้ แทนที่จะอนุญาตทราฟฟิกโดยพลการ เพียงตรวจสอบให้แน่ใจว่ามันส่งไปยัง IP ปลายทางที่คุณคาดหวัง:
-A FORWARD -m conntrack --ctstate ก่อตั้งขึ้นที่เกี่ยวข้อง -j ยอมรับ
-A ไปข้างหน้า -i wg0 -d 192.168.1.45 -j ยอมรับ
ฉันจะไม่เพิ่มและลบกฎใน โพสต์อัพ และ โพสต์ลง hooks มันไม่มีประโยชน์ที่จะลบออกเมื่อไม่มีอินเทอร์เฟซอีกต่อไปเนื่องจากไม่ได้ทำอะไรเลยในกรณีนั้น เพียงปล่อยไว้ตลอดเวลา จะเกิดข้อผิดพลาดน้อยลงและจัดการได้ง่ายขึ้น
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
