mirror of
https://github.com/bol-van/zapret.git
synced 2024-11-30 05:50:53 +03:00
wireguard docs: firewall exception notice
This commit is contained in:
parent
2422d9f1d0
commit
83fab71a67
@ -230,7 +230,12 @@ config rule
|
|||||||
Но в случае с отдельной зоной можно настроить особые правила на подключения с vpn сервера в сторону клиента.
|
Но в случае с отдельной зоной можно настроить особые правила на подключения с vpn сервера в сторону клиента.
|
||||||
*) Разрешение форвардинга между локалкой за роутером и wgvps.
|
*) Разрешение форвардинга между локалкой за роутером и wgvps.
|
||||||
*) Разрешение принимать icmp от vpn сервера, включая пинги. ICMP жизненно важны для правильного функционирования ip сети !
|
*) Разрешение принимать icmp от vpn сервера, включая пинги. ICMP жизненно важны для правильного функционирования ip сети !
|
||||||
*) И обязательно проткнуть дырку в фаерволе, чтобы принимать пакеты wireguard со стороны инетовского ip vpn сервера.
|
*) И желательно проткнуть дырку в фаерволе, чтобы принимать пакеты wireguard со стороны инетовского ip vpn сервера.
|
||||||
|
Конечно, оно скорее всего заработает и так, потому что первый пакет пойдет от клиента к серверу и тем самым создаст
|
||||||
|
запись в conntrack. Все дальнейшие пакеты в обе стороны подпадут под состояние ESTABLISHED и будут пропущены.
|
||||||
|
Запись будет поддерживаться за счет периодических запросов keep alive. Но если вы вдруг уберете keep alive или
|
||||||
|
выставите таймаут, превышающий udp таймаут в conntrack, то могут начаться ошибки, висы и переподключения.
|
||||||
|
Если же в фаерволе проткнута дырка, то пакеты от сервера не будут заблокированы ни при каких обстоятельствах.
|
||||||
|
|
||||||
# /etc/init.d/firewall restart
|
# /etc/init.d/firewall restart
|
||||||
# ifup wgvps
|
# ifup wgvps
|
||||||
|
Loading…
Reference in New Issue
Block a user