かつては、ワイヤガードトラフィックを許可するiptablesルールがありました。
Feimから:
proto udp dport 51820 mod owner ! uid-owner 0-4294967294 mod conntrack ctstate (NEW) ACCEPT;
翻訳ツールを使用すると、次のようになります。
udp dport 51820 meta skuid != 0-4294967294 ct state new accept
ただし、カウンタと記録されたパケットを調べると、この規則は影響を受けません。
nftablesを使ってこれを行うには?
ベストアンサー1
次のことを行う方法を意味する場合: https://superuser.com/questions/1579741/iptables-rule-for-filtering-wireguard-packets nftablesでは、iptablesのように32ビット範囲全体を除外するルールを追加することはできません。
nftablesには2つのルールが必要です。 1つ目は32ビットのuid範囲全体を削除し、2つ目はuidがないためポート51820を許可します。
chain wireguard_enable {
udp dport 51820 meta skuid { 0-4294967294 } ct state new drop
udp dport 51820 ct state new accept
}