한때 다음을 통해 와이어가드 트래픽을 허용하는 iptables 규칙이 있었습니다.
Feim에서 :
proto udp dport 51820 mod owner ! uid-owner 0-4294967294 mod conntrack ctstate (NEW) ACCEPT;
번역 도구를 사용하면 다음과 같습니다.
udp dport 51820 meta skuid != 0-4294967294 ct state new accept
그러나 카운터와 기록된 패킷을 살펴보면 이 규칙은 영향을 받지 않습니다.
nftables를 사용하여 이를 수행하는 방법은 무엇입니까?
답변1
다음과 같은 작업을 수행하는 방법을 의미하는 경우: https://superuser.com/questions/1579741/iptables-rule-for-filtering-wireguard-packets nftables에서는 iptables에서처럼 전체 32비트 범위를 제외하는 규칙을 추가할 수 없습니다.
nftables에는 두 가지 규칙이 필요합니다. 첫 번째는 전체 32비트 uid 범위를 제거하고, 두 번째는 uid가 없기 때문에 포트 51820을 허용합니다.
chain wireguard_enable {
udp dport 51820 meta skuid { 0-4294967294 } ct state new drop
udp dport 51820 ct state new accept
}