Wireguard의 nftables 규칙

Wireguard의 nftables 규칙

한때 다음을 통해 와이어가드 트래픽을 허용하는 iptables 규칙이 있었습니다.

Feim에서 :

proto udp dport 51820 mod owner ! uid-owner 0-4294967294 mod conntrack     ctstate (NEW) ACCEPT;

번역 도구를 사용하면 다음과 같습니다.

 udp dport 51820 meta skuid != 0-4294967294 ct state new accept

그러나 카운터와 기록된 패킷을 살펴보면 이 규칙은 영향을 받지 않습니다.

nftables를 사용하여 이를 수행하는 방법은 무엇입니까?

답변1

다음과 같은 작업을 수행하는 방법을 의미하는 경우: https://superuser.com/questions/1579741/iptables-rule-for-filtering-wireguard-packets nftables에서는 iptables에서처럼 전체 32비트 범위를 제외하는 규칙을 추가할 수 없습니다.

nftables에는 두 가지 규칙이 필요합니다. 첫 번째는 전체 32비트 uid 범위를 제거하고, 두 번째는 uid가 없기 때문에 포트 51820을 허용합니다.

chain wireguard_enable {
        udp dport 51820 meta skuid { 0-4294967294 } ct state new drop
        udp dport 51820 ct state new accept

}

관련 정보