Wireguardを通過しないすべての接続をブロックする「キルスイッチ」を実装するために、Wireguard設定でコマンドを使用postup
する人をよく見てください。predown
これは例です。postup
私が見つけたものを読むこの文書:
インターフェイスが起動したら、オプションでコマンドを実行できます。
したがって、これに基づいて2つの質問があります。
これにより、コンピュータの起動時に漏れが防止されますか? Wireguardがインターフェイスを起動する前に、どの時点でシステムがネットワーク要求(更新を受け取るなど)を行いますか?
異なるワイヤガード構成を切り替えると、漏れが防止されますか?
答え1
PostUp / PreDownスクリプトを使用して実装された「キルスイッチ」は、WireGuardインターフェイスが起動したときにのみ適用され、コンピュータが起動したときやWireGuardインターフェイスを切り替えたときに「リーク」を防ぐことはできません。
WireGuardインターフェイスを介さずにコンピュータからのトラフィックをブロックすることが重要な場合は、次の手順を実行するようにコンピュータのファイアウォールを設定する必要があります。
- デフォルトでは、すべてのアウトバウンドトラフィックをブロック
- 外部WireGuardエンドポイントへのアウトバウンドトラフィックを許可する(IPアドレス+ UDPポート)
- DHCPまたは必要なすべてのLANサービスへのローカルトラフィックを許可する
コンピュータの起動中は、ネットワークサブシステムの実行とファイアウォールの起動の間に短時間がかかります。この間に漏れを防ぐために、コンピュータの起動が完了した後に手動で起動しないように物理ネットワークインターフェイスを設定します。または、有線ネットワークインターフェイスの場合は、コンピュータの起動時にプラグを抜くだけです。