Исправление ValdikSS, (текущая версия) :
В Ethernet-сетях хосты связываются между собой на уровне Ethernet (L2) в пределах своего L2-сегмента (также называют Broadcast-сегментом). Они передают Ethernet-фреймы между MAC-адресами без ограничений, независимо от того, какие IP-адреса в них указаны, и не ограничиваясь только IP-протоколом. Вы не сможете заблокировать передачу данных между двумя IP-адресами внутри Ethernet-сегмента средствами iptables со стандартными настройками, даже если у вас программный bridge (для этого необходимо активировать отдельную опцию), потому что пакеты не нуждаются в маршрутизации на уровне L3 и не попадают в netfilter.
Опция ip_forward включает маршрутизацию на IP-уровне. WireGuard предоставляет только L3 (IP)-туннель, реализовывая L2-логику внутри самой программы, ядро про нее ничего не знает, поэтому между участниками необходимо маршрутизировать пакеты на IP-уровне. В OpenVPN, к слову, для этого есть опция client-to-client, реализующая маршрутизацию внутри самого VPN-сервера.
Исходная версия ValdikSS, :
В Ethernet-сетях хосты связываются между собой на уровне Ethernet (L2) в пределах своего L2-сегмента (также называют Broadcast-сегментом). Они передают Ethernet-фреймы между MAC-адресами без ограничений, независимо от того, какие IP-адреса в них указаны, и не ограничиваясь только IP-протоколом. Вы не сможете заблокировать передачу данных между двумя IP-адресами внутри Ethernet-сегмента средствами iptables со стандартными настройками, даже если у вас программный bridge (для этого необходимо активировать отдельную опцию).
Опция ip_forward включает маршрутизацию на IP-уровне. WireGuard предоставляет только L3 (IP)-туннель, реализовывая L2-логику внутри самой программы, ядро про нее ничего не знает, поэтому между участниками необходимо маршрутизировать пакеты на IP-уровне. В OpenVPN, к слову, для этого есть опция client-to-client, реализующая маршрутизацию внутри самого VPN-сервера.