kbs45f
Goto Top

Wireguard Client soll nur Internet Traffic dürfen

Hallo,

ich habe einen Raspberry Pi mit Wireguard am laufen.
Jetzt möchte ich einen neuen Wireguard Benutzer anlegen der nur Internet Traffic machen darf und nicht ins lokale Netz darf.

Habe bis jetzt keine Möglichkeit/Anleitung gefunden wie ich das umsetzten kann.

Content-Key: 23406508093

Url: https://administrator.de/contentid/23406508093

Printed on: July 21, 2024 at 23:07 o'clock

Mitglied: 11078840001
Solution 11078840001 Mar 10, 2024 updated at 06:40:17 (UTC)
Goto Top
RFC1918 für den User im Forward sperren (x.x.x.x durch die WG IP des Users und wg0 durch das WG Interface ersetzen) ...

Wenn iptables firewall

iptables -I FORWARD -s X.X.X.X -i wg0 -d 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 -j DROP

Oder wenn nftables genutzt wird, in der FORWARD Chain folgendes eintragen

ip saddr x.x.x.x iifname wg0 daddr { 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 } drop

Und wie immer gilt "first match wins" in der Firewall, also immer die Position prüfen.

🤙
Member: aqui
aqui Mar 10, 2024 at 08:54:00 (UTC)
Goto Top
Raspberry Pi OS ist Debian Bookworm, da ist nftables Default. 😉
Mitglied: 11078840001
11078840001 Mar 10, 2024 updated at 10:11:55 (UTC)
Goto Top
Kann ja Gott sei Dank jeder selbst bestimmen was auf der Beere läuft. Mir ist das Standard Pi OS zu aufgeblasen und setze lieber auf ein schlankes Arch das ich auf den Einsatzzweck des Geräts zuschneide. 😉 Ich fahre ja auch nicht mit dem Lanz Bulldog auf die Autobahn , außer es geht mal wieder ab nach Berlin die Gülle am Reichstag entsorgen 🤪.
Member: kbs45f
kbs45f Mar 10, 2024 at 21:30:38 (UTC)
Goto Top
Dankd abramakabra. Das war es.