Всё верно, и я не издеваюсь над правилами. Это стандартные настройки WG, которые создаёт wg-quick при поднятии интерфейса.
Из твоего объяснения получается, что трафик до пиров также должен идти через интерфейс wg0, правильно? Но он идет через стандартный маршрут. Почему?
Получается, что WG маршрутизирует трафик до пиров каким-то нестандартным образом - каким?
И сразу упреждая ссылку на мануал WG: если WG использует стандартные сокеты, то он не может маркировать трафик, который он направляет к пирам. По крайней мере без применения грязных хаков, ломающих всю схему маршрутизации пакетов внутри ядра. WG может маркировать только те пакеты, которые ПОРОЖДАЮТСЯ в его сетевом интерфейсе. В описании WG также написано, что маркируются пакеты, которые были инкапсулированы внутри тоннеля (т.е. на локальной системы были порождены его сетевым интерфейсом). Исходящий трафик к пирам не был порождён в интерфейсе WG.
Отправляемые пакеты сначала проходят процедуру роутинга,а уже потом могут попасть в сетевой интерфейс WG, где они могут быть промаркированы. Но тогда они и отправлены будут через этот же интерфейс.
Наблюдаемое поведение можно получить путём добавления pre-routing правил в файрвол, но никаких правил в nft/iptables WireGuard не создаёт.
Вопрос реально сложнее, чем кажется. Все сразу бросаются отвечать на него, не задумываясь, как именно работает маршрутизация в ядре.
Собственно, посмотрел. У них даже лицензии МО нет. Они просто делают некий бортовой компьютер, а в плане разрешений он для военных и около-военных ничем не отличается от импортного.
Ну, я не вносил. Но кто-то, наверное, мог. Пойду учинять допросы и расправу. Т.е. qrator от DDoS защищают? Странно, что система относительно недавно установлена была - месяца три назад. А давно Habr был под DDoS в последний раз?
Эльбрусы называть вот прямо x86-совместимыми... Немного не корректно. Уж лучше с MIPS работать, чем в это болото нырять.
И Вы, я вижу, несколько наивны ;) У военных спросить... Вы не представялете, какой тут/там цирк с конями. Начиная с того что, у кого именно спросить? :) У МО? На какой адрес слать письмо? :) Список разрешённого есть, но там микросхемы, а не модули. А модули, чёрт его знает, как утверждаются. Последний акутальный список, который удалось добыть, это приказ от 2010 года, который во-первых, несколько утсарел, а во-вторых, там даже ARM нет (хотя в разрешённой номенклатуре они уже есть, так как эта номенклатура каждый год утверждается). При этом в продаже модули на x86 есть, но на основании чего их можно применять никто толком не знает. При этом, например, ноутбуков на MIPS наша промышленность сколько-либо вменяемых не далет, и применяются на x86, но опять же на основнании чего никто толком не знает.
Из твоего объяснения получается, что трафик до пиров также должен идти через интерфейс wg0, правильно? Но он идет через стандартный маршрут. Почему?
Получается, что WG маршрутизирует трафик до пиров каким-то нестандартным образом - каким?
И сразу упреждая ссылку на мануал WG: если WG использует стандартные сокеты, то он не может маркировать трафик, который он направляет к пирам. По крайней мере без применения грязных хаков, ломающих всю схему маршрутизации пакетов внутри ядра. WG может маркировать только те пакеты, которые ПОРОЖДАЮТСЯ в его сетевом интерфейсе. В описании WG также написано, что маркируются пакеты, которые были инкапсулированы внутри тоннеля (т.е. на локальной системы были порождены его сетевым интерфейсом). Исходящий трафик к пирам не был порождён в интерфейсе WG.
Отправляемые пакеты сначала проходят процедуру роутинга,а уже потом могут попасть в сетевой интерфейс WG, где они могут быть промаркированы. Но тогда они и отправлены будут через этот же интерфейс.
Наблюдаемое поведение можно получить путём добавления pre-routing правил в файрвол, но никаких правил в nft/iptables WireGuard не создаёт.
Вопрос реально сложнее, чем кажется. Все сразу бросаются отвечать на него, не задумываясь, как именно работает маршрутизация в ядре.