Fundo
Estou adicionando suporte para WireGuard VPN a um dispositivo incorporado. O próprio usuário poderá definir a AllowedIPsconfiguração. O WireGuard usa os IPs permitidos para definir rotas no host, portanto será possível ao usuário isolar o dispositivo (impossibilitando a conexão via TCP). Tenho pensado em maneiras de evitar isso.
Solução potencial
Uma solução potencial é adicionar regras de IP para as interfaces de host, de modo que qualquer tráfego com o IP de origem de uma interface seja sempre roteado por meio dessa interface. Se tivéssemos uma interface host eth0 com IP 172.17.0.2 e uma interface wireguard wg0 com IP 172.22.0.4 a configuração seria mais ou menos assim:
ip route add default via 172.17.0.1 dev eth0 table 1
ip rule add from 172.17.0.2 table 1
Isso significa que as conexões originadas do dispositivo ainda devem ser roteadas normalmente, mas se alguém se conectar ao dispositivo usando TCP - para HTTP ou ssh - as respostas deverão ser roteadas de volta.
Questões
Superficialmente, parece uma solução muito elegante, mas não posso deixar de pensar que esse não é o padrão por um bom motivo. Só não pensei em qual poderia ser esse motivo. Isso é uma má ideia? Isso adicionará uma vulnerabilidade potencial ao dispositivo ou algo semelhante? Existe uma maneira melhor de atingir o objetivo desejado de evitar o isolamento do dispositivo?