xiaoun001
2023-04-14 15:34:02 +08:00
你的问题很有深度,我尝试着回答一下:
我的理解如下,我自己是做在 OpenWRT 路由器上面的,以前也有做在内网服务器主机上。
1 、路由器本身的 IPV4 NAT 机制相当于一个防火墙,正常情况下,外面是没有办法访问内网的,因此,可以理解为 NAT 后面的局域网为一个可信任区域。
2 、WIREGUARD 放在路由上,如果区域设置为 LAN ,那么与放内网主机并无实质区别,因为都在可信任区域。
3 、WIREGUARD 放路由器上,区域设置为 VPN ,或者 WAN ,放在了不可信任的区域,那么在路由层面它本身就是和内网是隔离的,需要通过 NAT 机制,因此,理论上它是安全的。
4 、关于端口映射和开放端口,其实用到的是 NETFLITER 机制( IPTABLES )中两个不同的链表,路由开放端口是 INPUT 链表,是针对路由设备本身而言。开放端口转发是在 NAT 和 FORWARD 表,它本身是不对路由设备造成危害,但暴露的是咱们内网(安全区域)。
话说,WIREGUARD 是点对多点的,一个终端配置同时只能在一个终端用,并不能复用,因此,我觉得要破解还是有难度的。