У меня есть виртуальная машина Ubuntu, выступающая в качестве партнера WireGuard. В моей сети только мой порт WireGuard перенаправляется на мою виртуальную машину (от 51820 до 192.168.1.2).Я думаю, что мои iptables (ниже) настроены так, чтобы разрешать только (1) SSH из моей локальной сети (2) подключения к моему порту WireGuard (3) SSH от моего однорангового узла WG (4) связанный/установленный трафик и (5) петлевой трафик.
Тем не менее, я по-прежнему сбрасываю входящие подключения к портам, отличным от WireGuard, например так:
14 февраля, 03:42:08 ядро wireguard: [672816.748776] DROPPED IN=ens3 OUT= MAC=b0:a4:66:b9:e6:0b:1b:73:02:d8:fa:6f:08:00 SRC= 90.114.208.130 DST=192.168.1.2 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=44010 DF PROTO=TCP SPT=443 DPT=34548 WINDOW=0 RES=0x00 RST URGP=0
MAC и SRC были рандомизированы; однако первая часть MAC-адреса — это MAC-адрес интерфейса ens3 моей виртуальной машины. Вторая часть близка к MAC-адресу моего маршрутизатора (последний символ отличается).
Вопрос: Как вообще может быть входящий запрос на подключение к портам кроме 51820 когда на моем маршрутизаторе открыт и переадресован только один порт? Не будет ли маршрутизатор просто отбрасывать эти пакеты, поскольку порты (например, 34548) не открыты?
iptables (для справки):
Цепочка INPUT (политика DROP 310 пакетов, 24890 байт)
num pkts bytes target prot opt in out source target
1 3155 218K ПРИНЯТЬ tcp -- ens3 * 192.168.1.0/24 0.0.0.0/0 tcp dpt:22 ctstate НОВЫЙ, УСТАНОВЛЕННЫЙ
2 0 0 ПРИНЯТЬ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:51820
3 0 0 ПРИНЯТЬ tcp -- wg0 * 10.6.0.2 0.0.0.0/0 tcp dpt:22 ctstate NEW, ESTABLISHED
4 175K 398M ПРИНЯТЬ все -- * * 0.0.0.0/0 0.0.0.0/0 ctstate СВЯЗАННО, УСТАНОВЛЕНО
5 266 19635 ПРИНЯТЬ все -- lo * 0.0.0.0/0 0.0.0.0/0
6 310 24890 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 уровень 4 префикс "DROPPED"
Цепочка FORWARD (политика DROP 0 пакетов, 0 байт)
num pkts bytes target prot opt in out source target
1 0 0 WG_wg0 все -- * * 0.0.0.0/0 0.0.0.0/0
Цепочка OUTPUT (политика ACCEPT 23M пакетов, 32G байт)
num pkts bytes target prot opt in out source target
Цепочка WG_wg0 (1 ссылка)
num pkts bytes target prot opt in out source target
1 0 0 ПРИНЯТЬ все -- * wg0 0.0.0.0/0 0.0.0.0/0 ctstate СВЯЗАННО,УСТАНОВЛЕНО
2 0 0 ПРИНЯТЬ все -- wg0 * 10.6.0.2 0.0.0.0/0
3 0 0 УДАЛИТЬ все -- wg0 * 0.0.0.0/0 0.0.0.0/0
4 0 0 ВОЗВРАТ все -- * * 0.0.0.0/0 0.0.0.0/0