<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">On Sat, 11 May 2019 at 02:09, Sitaram Chamarty <<a href="mailto:sitaramc@gmail.com">sitaramc@gmail.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, May 10, 2019 at 05:18:39PM +0100, Steve Dodd wrote:<br></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> I'm not 100% clear on your setup .. Have you got a network namespace set<br>
> up? If not, you haven't got much security anyway, I suspect. It turns out<br>
> it's not too hard .. you're welcome to my hacky scripts if you're<br>
> interested.<br>
<br>
I don't think it has anything to do with my wireguard setup.<br></blockquote><div><br></div><div>Network namespaces are worth looking into - it's what I used to avoid things "escaping" the VPN. They literally can't see any other interfaces, get their own routing table, etc.</div><div> </div><div>Hacky scripts:</div><div><br></div><div>setup: <a href="https://pastebin.com/TChbUfL5">https://pastebin.com/TChbUfL5</a></div><div>teardown: <a href="https://pastebin.com/ghYGJQEw">https://pastebin.com/ghYGJQEw</a><br></div><div>runas: <a href="https://pastebin.com/h9vEvryt">https://pastebin.com/h9vEvryt</a> (this needs to be run by sudo - edit sudoers appropriately)</div><div><br></div><div>WG website has gory details:</div><div><br></div><div><a href="https://www.wireguard.com/netns/">https://www.wireguard.com/netns/</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
If you meant firejail setup, it is when I use "--net" (which,<br>
according to the manpage, "Enable[s] a new network namespace and<br>
connect[s] it to this ethernet interface", that the bypass<br>
happens.<br></blockquote><div><br></div><div>I was meaning setting up a namespace before running firejail .. I actually find it's tidier and avoids confusion about default routes, etc. Then the interesting question would be if firejail could break out of that namespace, and if so how to stop it.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Some other tool, if it's running as root or is suid root, can<br>
still bypass wireguard, regardless of how it is setup.<br></blockquote><div><br></div><div>I suspect that can be prevented - on modern systems being root isn't necessarily the be-all and end-all. Capabilities and namespaces can still be used to  constrain applications in lots of ways.</div><div><br></div><div>S.</div></div></div></div></div></div></div>