Как гарантировать, что трафик WireGuard ограничен пространством имен сети Linux без доступа к Интернету на хосте? ⇐ Linux

[Anonymous]

Я пытаюсь настроить WireGuard (WG) внутри сетевого пространства имен Linux (

Код: Выделить всё

mynamespace

) таким образом, чтобы весь трафик WireGuard ограничивался пространством сетевых имен и не влиял на сеть хост-системы. Однако я сталкиваюсь с проблемами, из-за которых я не могу получить доступ к Интернету из пространства имен, даже если WireGuard активен.
Вот некоторая важная информация:
Маршруты в пространстве сетевых имен:

Код: Выделить всё

sudo ip netns exec mynamespace ip route show
default dev wg0 scope link

Интерфейсы сетевого пространства имен:

Код: Выделить всё

sudo ip netns exec mynamespace ip link show
1: lo:  mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
4: wg0: 
 mtu 1420 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/none

Конфигурация WireGuard внутри пространства имен:

Код: Выделить всё

sudo ip netns exec mynamespace wg showconf wg0
[Interface]
ListenPort = 44574
FwMark = 0xca6c
PrivateKey = PrivateKey

[Peer]
PublicKey = PublicKey
PresharedKey = PrehashedKey
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = endpoint

Конфигурация WireGuard на сервере

Код: Выделить всё

docker exec wg-easy cat /etc/wireguard/wg0.conf

# Note: Do not edit this file directly.
# Your changes will be overwritten!

# Server
[Interface]
PrivateKey = private
Address = 10.8.0.1/24
ListenPort = 51820
PreUp =
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT;
PreDown =
PostDown =  iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -D INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT;

# Client: test (c8d80092-7212-4d49-be6e-b35af0145a28)
[Peer]
PublicKey = pub key
PresharedKey = pre hashed key
AllowedIPs = 10.8.0.2/32

# Client: [idor (f4c34cf0-2dc8-4a0a-817d-80fed9473d92)
[Peer]
PublicKey = pub key
PresharedKey = prehashed key

Конфигурация разрешения DNS

Код: Выделить всё

sudo ip netns exec mynamespace cat /etc/resolv.conf

nameserver 1.1.1.1

Проблема:

• Маршрут внутри пространства имен установлен на default dev wg0, но я не могу получить доступ к Интернету в пространстве имен.
• Я хочу, чтобы трафик WireGuard проходил только внутри пространства имен и вообще не влиял на сеть хост-системы.
  Другие интерфейсы (например, eth0) на хосте не должен не быть доступен из пространства имен.

Что я пробовал:< /h3>

• Я проверил таблицу маршрутизации, и wg0 — единственный маршрут по умолчанию в пространстве имен.
• Я пробовал вручную добавлять дополнительные маршруты и настраивать конфигурацию WireGuard, но ничего не выходит. чтобы Интернет работал внутри пространства имен.

Цель:

[*]Мне нужно чтобы гарантировать, что трафик WireGuard остается внутри пространства имен и не проходит через сетевые интерфейсы хоста, а также гарантируется, что пространство имен может получить доступ к Интернету через WireGuard.
< /ul>
Спасибо!


Подробнее здесь: https://stackoverflow.com/questions/792 ... ce-without