自分のキルスイッチをテストしようとしています。Wireguardのローカルを無効にし、IPをcurlします。ログにはブロックが見つかりませんが、LANルールに基づいて許可が大量に見られます。設定は以下の通りです:
LAN側:
https://imgur.com/a/zKLXWyX
Floating/WAN側
Floating/WANルールはFloatingの最上部にあり、マッチング順の問題ではありません。
これらが正しければ、どうやってテストすれば良いですか?
私にはかなり良さそうに見えます。唯一の違いは、追加のキャッチのためにFloatingルールの方向を「全て」に設定した点です。
また、「ゲートウェイがダウンしているときにルールをスキップする」がFirewall → Settings → Advancedにチェックされていることを確認してください。そうしないと、VPNゲートウェイがダウンしているときにトラフィックをVPNゲートウェイ経由に強制するLANルールがスキップされ、デフォルトのルートに渡されてしまいます。
テスト方法としては、PCのIPアドレスをエイリアスリスト「AirVPN_US_Hosts」に追加し、dnscheck.tools - check your dns resolvers などを使用してIPアドレスを確認してください。WGゲートウェイが起動している状態とダウンしている状態の両方で試します。
それは間違っているようです - 「チェックされていない」ことを意味しているのでしょうか?LANルールを使いたいのは分かっていますが、これが正しい回答のように思えます。ヘルプの記述が少し誤解を招く表現で、確信したいです。
デフォルトでは、ルールに特定のゲートウェイが設定され、そのゲートウェイがダウンしているときに、ルールが作成され、トラフィックはデフォルトゲートウェイに送信される。
太字の部分は少し混乱させる表現です。
追記:理解できたと思います - これは、新しいルールを作成してデフォルトゲートウェイを経由させることを意味しているのでしょうか。奇妙ですが、VPNやゲートウェイのトラフィックの失敗を強制すると、ブラックホールになってしまいます。
私が言った通り、「チェックされている」状態です。これはひどく曖昧な設定です。私の理解では、チェックされていると自動生成されたルールをスキップしてデフォルトゲートウェイに送ることを意味します。だから、この説明はもっとわかりやすく修正してほしいです。
私は、チェックされている設定は「デフォルトゲートウェイにトラフィックを送るための新しいルールを作成しない」と考えています。
素晴らしいです。試してみます。ありがとうございます。この設定の存在を全く知りませんでした。ここにはキルスイッチについて触れられている場所でも言及されていません…
考えてみると、もしかしたら必要ないかもしれません。タグ付けされたトラフィックがデフォルトのGWを通っても、Floatingルールがキャッチできるはずです。
私は、Floatingルールの方向を「out」ではなく「全て」または「両方」に変更することが重要だと思います。