Wireguard: Kommunikation zwischen Clients verbieten (Client-Isolation)
Wireguard bietet viele Vorteile als VPN-Lösung, standardmäßig ist jedoch die Kommunikation zwischen den Clients erlaubt. Dies kann bei falsch konfigurierten Clients ein Sicherheitsrisiko darstellen. Deshalb empfiehlt es sich die Clients voneinander zu isolieren und damit deren Kommunikation zu unterbinden.
Das lässt sich relativ einfach mit iptables auf dem Server bewerkstelligen:
ip6tables -I FORWARD -i wg0 -o wg0 -j REJECT --reject-with icmp6-adm-prohibited
iptables -I FORWARD -i wg0 -o wg0 -j REJECT --reject-with icmp-admin-prohibitedSollen einzelne Clients trotzdem kommunizieren dürfen, so müssen hierfür weitere Regeln eingebaut werden. Im nachfolgenden Beispiel ist die IP des freigegebenen Clients 10.6.6.3 (Subnetz 32 = 1 IP-Adresse) und das Subnetz 10.6.6.0 (Subnetz 24 = ganzes Subnetz)
iptables -I FORWARD -i wg0 -s 10.6.6.3/32 -d 10.6.6.0/24 -j ACCEPTSollte ein Server im Netzwerk stehen, der ebenfalls per Wireguard verbunden ist, empfehle ich Euch nicht einfach den ganzen Server samt aller Ports freizugeben.