8.2. WireGuard 如何使用隧道 IP 地址、公钥和远程端点
当 WireGuard 将网络数据包发送到对等点时:
- WireGuard 从数据包读取目标 IP,并将其与本地配置中允许的 IP 地址列表进行比较。如果未找到 peer,WireGuard 会丢弃数据包。
- 如果 peer 有效,WireGuard 使用对等的公钥对数据包进行加密。
- 发送主机查找主机的最新互联网 IP 地址,并将加密数据包发送到此地址。
当 WireGuard 接收数据包时:
- WireGuard 使用远程主机的私钥解密数据包。
- WireGuard 从数据包读取内部源地址,并在本地主机上对等点的设置中查询 IP 地址是否配置。如果源 IP 位于允许列表中,WireGuard 会接受数据包。如果 IP 地址不在列表中,WireGuard 会丢弃数据包。
公钥和允许的 IP 地址的关联称为 加密密钥路由表。这意味着,当发送数据包时,IP 地址列表的行为与路由表相似,在接收数据包时作为一种访问控制列表。
