El 2021-01-21 a las 09:05 +0100, Imeneo Tirinto escribió:
> A ver si me podeis ayudar. Tengo un servidor al que le he instalado una VPN
> con Wireguard para poder utilizar en exclusiva los servicios instalados
> (Apache, Emby, etc). Los servicios funcionan correctamente y puedo acceder
> a ellos desde una IP pública (duckdns) abriendo los puertos
> correspondientes en el router (80, 443, 8096...). Es decir, en el router
> tiene definidas las reglas 192.168.1.100 -> TCP -> 80 por ejemplo.
>
> El problema es que cuando lanzo el Wireguard los servicios citados siguen
> accesibles para cualquiera que tenga la dirección IP pública (duckdns). Yo
> quiero restringir el acceso a los clientes definidos en Wireguard.
Hum... no entiendo bien lo que quieres hacer. ¿Quieres que cualquiera
acceda a los servicios (apache, etc...) de manera remota o sólo quieres
dar acceso a ciertos usuarios/equipos/conexiones remotos?
Recuerda que para tener un cortafuegos/iptables funcionando en
condiciones necesitas tener al menos dos tarjetas de red o un dispostivo
dedicado que permita definir zonas.
> Supongo que la solución es definir reglas con Iptables para redirigir el
> tráfico desde el dispositivo eth0 a wg0. Es decir, por ejemplo, que todo el
> tráfico del puerto 80 que entra a través de la ip 192.168.1.100 definida en
> eth0, se redirija a wg0.
>
> El problema es que no sé cómo hacerlo. Agradecería alguna ayuda o
> documentación.
No me queda claro el objetivo, pero quizá esto te pueda ayudar o al
menos, orientar:
Restrict LAN access
https://www.reddit.com/r/WireGuard/comments/b8uffe/restrict_lan_access/
Saludos,
--
Camaleón