Закрываем доступ к WireGuard-UI извне

[TrustMe]

Всем привет!

В продолжении темы безопасности, когда мы создали первый клиент для себя, и один запасной, желательно закрыть веб-морду извне.

Для этого сначала устанавливаем ufw-docker

 

Затем юзаем команду:

ufw route allow proto tcp from 10.10.10.0/24 to any port 51821

Всё. Теперь доступ к вебморде будет только через внутреннюю сеть WireGuard

В представлении ufw status будет вид такой:

51821/tcp                  ALLOW FWD   10.10.10.0/24

 

Доступ из сети WG будет по адресу:

http://10.2.0.3:51821

[cmdname]

Доброго времени суток установил wg-easy и amnezia-wg-easy

Конфиг для wg-easy 

docker run -d \
  --name=wg-easy \
  -e LANG=de \
  -e WG_HOST=<YOUR_SERVER_IP> \
  -e PASSWORD_HASH=<YOUR_ADMIN_PASSWORD_HASH> \
  -e PORT=51821 \
  -e WG_PORT=51820 \
  -v ~/.wg-easy:/etc/wireguard \
  -p 51820:51820/udp \
  -p 51821:51821/tcp \
  --cap-add=NET_ADMIN \
  --cap-add=SYS_MODULE \
  --sysctl="net.ipv4.conf.all.src_valid_mark=1" \
  --sysctl="net.ipv4.ip_forward=1" \
  --restart unless-stopped \
  ghcr.io/wg-easy/wg-easy

Конфиг для amnezia-wg-easy 

docker run -d \
  --name=amnezia-wg-easy \
  -e LANG=de \
  -e WG_HOST=myip \
  -e PASSWORD=mypassword \
  -e WG_DEFAULT_ADDRESS=10.7.0.x \
  -e PORT=51921 \
  -e WG_PORT=51920 \
  -v ~/.amnezia-wg-easy:/etc/wireguard \
  -p 51920:51920/udp \
  -p 51921:51921/tcp \
  --cap-add=NET_ADMIN \
  --cap-add=SYS_MODULE \
  --sysctl="net.ipv4.conf.all.src_valid_mark=1" \
  --sysctl="net.ipv4.ip_forward=1" \
  --device=/dev/net/tun:/dev/net/tun \
  --restart unless-stopped \
  ghcr.io/spcfox/amnezia-wg-easy

для порта wg-easy заюзал команду ufw route allow proto tcp from 10.10.10.0/24 to any port 51821
все работает, доступ изнутри есть.
 
для порта amnezia-wg-easy заюзал команду ufw route allow proto tcp from 10.10.10.0/24 to any port 51921
не работает, доступа изнутри нет

подскажите пожалуйста в чем ошибка?