배경
내장형 장치에 WireGuard VPN에 대한 지원을 추가하고 있습니다. 사용자가 직접 구성을 설정할 수 있습니다 AllowedIPs. WireGuard는 허용된 IP를 사용하여 호스트에 경로를 설정하므로 사용자가 장치를 격리할 수 있습니다(TCP를 통한 연결이 불가능하게 만듭니다). 나는 이것을 예방할 수 있는 방법을 생각해 왔습니다.
잠재적인 해결책
한 가지 가능한 해결책은 호스트 인터페이스에 대한 IP 규칙을 추가하여 인터페이스의 소스 IP가 있는 모든 트래픽이 항상 해당 인터페이스를 통해 라우팅되도록 하는 것입니다. IP 172.17.0.2의 호스트 인터페이스 eth0 하나와 IP 172.22.0.4의 wireguard 인터페이스 wg0 하나가 있는 경우 구성은 다음과 같습니다.
ip route add default via 172.17.0.1 dev eth0 table 1
ip rule add from 172.17.0.2 table 1
즉, 장치에서 시작되는 연결은 여전히 정상적으로 라우팅되어야 하지만 누군가 TCP(HTTP 또는 SSH의 경우)를 사용하여 장치에 연결하는 경우 응답이 다시 라우팅되어야 함을 의미합니다.
질문
표면적으로 이것은 매우 우아한 솔루션처럼 보이지만 이것이 정당한 이유 때문에 기본값이 아니라는 생각을 지울 수 없습니다. 나는 그 이유가 무엇인지 생각해 본 적이 없습니다. 이것이 나쁜 생각인가요? 장치 또는 이와 유사한 것에 잠재적인 취약점을 추가합니까? 장치 격리를 피하려는 원하는 목표를 달성할 수 있는 더 좋은 방법이 있습니까?