Iptables: cách chỉ cho phép chuyển tiếp từ NIC bảo vệ dây tới một số IP

Bối cảnh

Tôi đã tích hợp thành công dây bảo vệ trong mạng LAN của mình để tôi có thể truy cập NAS của mình (192.168.1.45) từ bên ngoài.

|Bộ định tuyến| ===:5182=> |máy chủ VPN| ====> |NAS|
192.168.1.254 192.168.1.21 (wlan0) 192.168.1.45
                        10.10.10.1 (wg0)

Các gói chuyển tiếp qua máy chủ VPN của tôi dựa vào:

1. chuyển tiếp ip trong /etc/sysctl.conf (Cf kịch bản của tôi)
2. các quy tắc sau được thêm vào (-MỘT) khi giao diện bảo vệ dây (wg0) lên.

PostUp = iptables -A FORWARD -i wg0 -j CHẤP NHẬN; iptables -t nat -A POSTROUTING -o $main_nic -j MASQUERADE; ip6tables -A CHUYỂN ĐI -i wg0 -j CHẤP NHẬN; ip6tables -t nat -A POSTROUTING -o $main_nic -j MASQUERADE

(đây là lệnh wireguard thực thi khi tôi dừng wg0)

PostDown = iptables -D FORWARD -i wg0 -j CHẤP NHẬN; iptables -t nat -D POSTROUTING -o $main_nic -j MASQUERADE; ip6tables -D CHUYỂN ĐI -i wg0 -j CHẤP NHẬN; ip6tables -t nat -D POSTROUTING -o $main_nic -j MASQUERADE

Cần

Điều này hoạt động như một bùa mê nhưng làm cách nào tôi có thể hạn chế mọi thứ để khách hàng vào mạng LAN của tôi thông qua điểm vào VPN này chỉ có thể truy cập 192.168.1.45 và không có IP nào khác? Nó có tương thích với chuyển tiếp ip?

Lý tưởng nhất là nếu điều này có thể được quản lý hoàn toàn trong Gửi lên Đăng Xuống của wireguard (độc lập với các quy tắc trước đó trên hệ thống), điều này thật tuyệt vời . Đã thử một số nhưng, hãy đối mặt với nó, tôi là một nhà phát triển hơn là một quản trị viên mạng

Chắc chắn là bạn có thể, thay vì tùy ý cho phép lưu lượng truy cập, chỉ cần đảm bảo rằng nó đi đến IP đích mà bạn mong đợi:

-A FORWARD -m conntrack --ctstate ĐÃ THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN 
-A VỀ PHÍA TRƯỚC -i wg0 -d 192.168.1.45 -j CHẤP NHẬN

Lưu ý thêm, tôi sẽ không thêm và xóa các quy tắc trong Gửi lên và Đăng Xuống móc, sẽ không hữu ích nếu xóa chúng khi giao diện không còn tồn tại vì chúng không làm gì trong trường hợp đó. Cứ để chúng ở đó mọi lúc, nó ít bị lỗi và dễ quản lý hơn.