Wireguardのポストアップ/フリーダウンは実際に「キルスイッチ」として機能しますか?

Wireguardのポストアップ/フリーダウンは実際に「キルスイッチ」として機能しますか?

Wireguardを通過しないすべての接続をブロックする「キルスイッチ」を実装するために、Wireguard設定でコマンドを使用postupする人をよく見てください。predownこれは例ですpostup私が見つけたものを読むこの文書:

インターフェイスが起動したら、オプションでコマンドを実行できます。

したがって、これに基づいて2つの質問があります。

  1. これにより、コンピュータの起動時に漏れが防止されますか? Wireguardがインターフェイスを起動する前に、どの時点でシステムがネットワーク要求(更新を受け取るなど)を行いますか?

  2. 異なるワイヤガード構成を切り替えると、漏れが防止されますか?

答え1

PostUp / PreDownスクリプトを使用して実装された「キルスイッチ」は、WireGuardインターフェイスが起動したときにのみ適用され、コンピュータが起動したときやWireGuardインターフェイスを切り替えたときに「リーク」を防ぐことはできません。

WireGuardインターフェイスを介さずにコンピュータからのトラフィックをブロックすることが重要な場合は、次の手順を実行するようにコンピュータのファイアウォールを設定する必要があります。

  1. デフォルトでは、すべてのアウトバウンドトラフィックをブロック
  2. 外部WireGuardエンドポイントへのアウトバウンドトラフィックを許可する(IPアドレス+ UDPポート)
  3. DHCPまたは必要なすべてのLANサービスへのローカルトラフィックを許可する

コンピュータの起動中は、ネットワークサブシステムの実行とファイアウォールの起動の間に短時間がかかります。この間に漏れを防ぐために、コンピュータの起動が完了した後に手動で起動しないように物理ネットワークインターフェイスを設定します。または、有線ネットワークインターフェイスの場合は、コンピュータの起動時にプラグを抜くだけです。

関連情報