Ayuda en línea de ESET

Búsqueda Español
Seleccione el tema

Uso de WireGuard con protección de acceso a la web

Problema

Supongamos que la protección de acceso a la web se combina con WireGuard mediante la línea de comandos wg-quick o como un servicio. En ese caso, la conectividad a Internet puede perderse si las interfaces WAP y WireGuard se han activado. Esto se debe a una regla agregada a nftables por wg-quick, cuando se abre una interfaz. Supongamos que la interfaz es wg0, con una dirección IP 10.10.10.2 . La regla se agrega a la tabla wg-quick-wg0 en la cadena preraw y se ve así:

iifname != "wg0" ip daddr 10.10.10.2 fib saddr type != local drop

El propósito de esta regla es ofrecer protección contra problemas de configuración y paquetes malintencionados.

Solución

En un sistema correctamente configurado y seguro, la regla nftables no debe ser necesaria. Al configurar wg-quick de forma que no se tenga que usar esa regla, deben solucionarse los problemas de conexión. Por ejemplo, puede editar el archivo de configuración de la interfaz afectada y, en la sección [Interfaz], agregar la siguiente acción PostUp:

PostUp = nft flush chain wg-quick-wg0 preraw

Tenga en cuenta que el nombre wg-quick-wg0 solo se aplica a la interfaz “wg0” y debe modificarse como corresponda con otras interfaces. Si aún desea contar con cierto nivel de protección, puede reemplazar la regla por una más débil, como esta:

PostUp = nft flush chain wg-quick-wg0 preraw; nft 'add rule wg-quick-wg0 preraw iifname != "wg0" iif != "lo" ip daddr 10.10.10.2 fib saddr type != local drop'

Recuerde que si la interfaz no es "wg0", deberá modificar todas las menciones a "wg0". Además, si la dirección IP no es 10.10.10.2, también tendrá que modificarla como corresponda.