Wireguard를 통과하지 않는 모든 연결을 차단하는 "킬 스위치"를 구현하기 위해 Wireguard 구성에서 postup및 명령을 사용하는 사람들을 자주 봅니다.predown이것은 예이다. postup내가 찾은 것을 읽어보세요이 문서:
인터페이스가 작동된 후 선택적으로 명령을 실행할 수 있습니다.
따라서 이를 바탕으로 두 가지 질문이 있습니다.
이렇게 하면 컴퓨터가 시작될 때 누출이 방지됩니까? Wireguard가 인터페이스를 시작하기 전 어느 시점에 시스템이 네트워크 요청(예: 업데이트 받기)을 합니까?
서로 다른 와이어가드 구성 간에 전환하면 누출이 방지됩니까?
답변1
PostUp/PreDown 스크립트를 사용하여 구현된 "킬 스위치"는 WireGuard 인터페이스가 시작될 때만 적용되고 컴퓨터가 시작되거나 WireGuard 인터페이스 간에 전환될 때 "누출"을 방지하지 않는다는 것이 맞습니다.
WireGuard 인터페이스를 통하지 않고 컴퓨터에서 나가는 트래픽을 차단하는 것이 중요한 경우 다음을 수행하도록 컴퓨터의 방화벽을 구성해야 합니다.
- 기본적으로 모든 아웃바운드 트래픽 차단
- 외부 WireGuard 엔드포인트로의 아웃바운드 트래픽 허용(IP 주소 + UDP 포트)
- DHCP 또는 필요한 모든 LAN 서비스에 대한 로컬 트래픽 허용
컴퓨터를 시작하는 동안 네트워크 하위 시스템 실행과 방화벽 시작 사이에 짧은 시간이 걸립니다. 이 시간 동안 누출을 방지하려면 컴퓨터 부팅이 완료된 후 수동으로 시작하지 않도록 물리적 네트워크 인터페이스를 구성하십시오. 또는 유선 네트워크 인터페이스의 경우 컴퓨터가 시작될 때 플러그를 뽑기만 하면 됩니다.