Fondo
Estoy agregando soporte para WireGuard VPN a un dispositivo integrado. El usuario podrá establecer la AllowedIPsconfiguración por sí mismo. WireGuard utiliza las IP permitidas para establecer rutas en el host, por lo que un usuario podrá aislar el dispositivo (haciendo imposible la conexión a través de TCP). He estado pensando en formas de prevenir esto.
Solucion potencial
Una posible solución es agregar reglas de IP para las interfaces del host, de modo que cualquier tráfico con la IP de origen de una interfaz siempre se enrute a través de esa interfaz. Si tuviéramos una interfaz de host eth0 con IP 172.17.0.2 y una interfaz wireguard wg0 con IP 172.22.0.4, la configuración se vería así:
ip route add default via 172.17.0.1 dev eth0 table 1
ip rule add from 172.17.0.2 table 1
Esto significa que las conexiones que se originan en el dispositivo aún deben enrutarse normalmente, pero si alguien se conecta al dispositivo mediante TCP (para HTTP o ssh), las respuestas deben enrutarse de regreso.
Preguntas
A primera vista, esto parece una solución realmente elegante, pero no puedo evitar pensar que no es la opción predeterminada por una buena razón. Simplemente no he pensado cuál podría ser esa razón. ¿Es una mala idea? ¿Agregará una vulnerabilidad potencial al dispositivo o algo similar? ¿Existe una mejor manera de lograr el objetivo deseado de evitar el aislamiento del dispositivo?