1 poin oleh GN⁺ 2023-09-08 | 1 komentar | Bagikan ke WhatsApp
  • Tailscale bermitra dengan Mullvad sehingga server VPN global milik Mullvad bisa digunakan sebagai Tailscale exit node, memungkinkan pengguna tailnet menjelajah web dengan privasi lebih baik tanpa infrastruktur tambahan
  • Mullvad adalah VPN yang tidak melakukan log aktivitas maupun pemantauan, dan menggunakan nomor akun unik untuk langganan, sehingga data pribadi tidak dirancang untuk terikat langsung ke akun
  • Tailscale hanya menangani lapisan koordinasi antara perangkat dan edge jaringan Mullvad, sementara lalu lintas internet yang sebenarnya mengalir langsung melalui node Mullvad yang dipilih
  • Kombinasi ini berguna untuk perlindungan di Wi-Fi publik atau akses berdasarkan wilayah, tetapi bukan model yang menjamin anonimitas sejati
  • Fitur ini tersedia dalam beta publik, dapat ditambahkan sebagai add-on berbayar ke paket Tailscale yang ada maupun paket Free, dengan harga $5 per bulan untuk 5 perangkat

Peran Tailscale dan Mullvad

  • Keduanya bisa disebut VPN, tetapi masalah yang ingin diselesaikan berbeda
  • Tailscale adalah layanan yang membuat tailnet, yaitu internet privat pribadi, untuk membantu pengguna terhubung dengan aman ke layanan dan orang yang mereka butuhkan dari hampir mana saja
  • VPN privasi seperti Mullvad menyediakan akses internet yang lebih mendekati privat dengan menyamarkan informasi identitas perangkat dari pengiklan, ISP, pelaku ancaman di Wi-Fi publik, situs pemasaran, dan pihak lainnya
  • Sebelumnya, jika ingin menggunakan Tailscale sambil mendapatkan manfaat serupa VPN privasi, pengguna harus membangun infrastrukturnya sendiri

Cara menggunakan Mullvad sebagai Tailscale exit node

  • Mullvad menyediakan akses ke ratusan server di lebih dari 40 negara di seluruh dunia
  • Saat terhubung ke server Mullvad, perangkat membuat pasangan kunci WireGuard
    • Kunci publik digunakan untuk mengidentifikasi peer di infrastruktur Mullvad
    • Kunci privat digunakan untuk mengenkripsi lalu lintas
  • Saat menggunakan Mullvad exit node di Tailscale, strukturnya serupa
    • Node mendaftarkan pasangan kunci WireGuard yang sudah dibuat Tailscale ke infrastruktur Mullvad
    • Lalu lintas yang datang dari internet diakhiri di edge jaringan Mullvad
    • Lalu lintas dienkripsi end-to-end hingga ke perangkat
  • Hasilnya, armada server Mullvad seolah dibawa masuk untuk digunakan di dalam tailnet

Tailscale berfungsi sebagai lapisan koordinasi

  • Tailscale berperan sebagai lapisan koordinasi antara perangkat pengguna dan edge jaringan Mullvad
  • Lapisan kontrol terus memperbarui peta jaringan Mullvad yang tersedia, lalu memberi tahu perangkat server mana yang harus dihubungi di tiap wilayah atau kota
  • Setelah menerima informasi koneksi untuk node Mullvad di wilayah atau kota yang dipilih, perangkat mengirim lalu lintas langsung ke internet melalui node tersebut
  • Seperti lalu lintas lain di tailnet, data dienkripsi end-to-end, dan Tailscale tidak memiliki kunci privat sehingga tidak dapat melihat isi lalu lintas

Pengaturan dan penagihan

  • Untuk mengaktifkan Mullvad exit node, admin tailnet harus memilih Configure di halaman general settings pada konsol admin
  • Admin kemudian memilih perangkat yang akan digunakan dengan Mullvad di tailnet, lalu membeli lisensi melalui alur pembayaran
    • Harganya adalah $5 per bulan untuk setiap 5 perangkat yang ingin digunakan
  • Perangkat yang telah diberi hak akses Mullvad VPN dapat memilih Mullvad exit node
  • Setiap perangkat dapat menyalakan atau mematikan exit node secara terpisah
  • Cara penggunaan lebih rinci dapat dilihat di dokumentasi Tailscale

Batas privasi dan anonimitas

  • Koneksi Tailscale masing-masing adalah tunnel WireGuard yang dienkripsi dan diautentikasi secara end-to-end
  • Autentikasi memberikan jaminan kuat bahwa lalu lintas mengalir di antara endpoint yang diklaim
  • Informasi pribadi pengguna tidak dikirim ke Mullvad
  • Tailscale mengetahui pengguna melalui identity provider yang terhubung, tetapi informasi ini tidak diperlukan untuk koneksi ke server Mullvad
  • Klien Tailscale lokal diberi tahu ke mana kunci WireGuard publik harus dikirim, lalu setelah itu lalu lintas internet mengalir melalui infrastruktur VPN Mullvad
  • Struktur ini membantu menyembunyikan detail pribadi perangkat, jaringan, dan koneksi dari pengamat eksternal

Anonimitas sejati adalah persoalan terpisah

  • Tailscale menilai kombinasi ini cocok untuk banyak kasus penggunaan, tetapi tidak memberikan anonimitas sejati
  • Masalah yang ingin diselesaikan Tailscale bukanlah true anonymity, melainkan pendekatan untuk pengguna dengan threat model yang mengizinkan anonimitas bersyarat
  • Ada juga kasus penggunaan yang valid yang membutuhkan privasi sekaligus anonimitas sejati
  • Secara komersial, ada risiko dalam memberikan jaminan seperti itu
    • Mullvad dan IVPN menyebut potensi penyalahgunaan terkait penghapusan dukungan port forwarding
    • Pengguna jahat dapat menjadikan layanan sebagai vektor penyalahgunaan
    • Penyalahgunaan seperti ini dapat memperburuk pengalaman seluruh pengguna, termasuk orang-orang yang bergantung pada layanan tersebut demi keselamatan mereka sendiri
  • Pengguna dengan threat model yang lebih berat perlu menilai alat yang tepat dengan bantuan sumber seperti EFF Surveillance Self-Defense guide

Beta publik dan dukungan paket

  • Mullvad exit node sudah bisa langsung digunakan dalam beta publik
  • Dapat diperluas untuk keluarga atau tim, dengan penagihan berulang otomatis sebesar $5 per bulan untuk setiap 5 perangkat yang memiliki akses
  • Mullvad saat ini tersedia sebagai add-on berbayar di semua paket Tailscale
  • Add-on ini juga bisa digunakan di paket Free
  • Untuk memulai, cukup pilih Configure di tab general settings pada konsol admin

1 komentar

 
GN⁺ 2023-09-08
Opini Hacker News
  • VPN awalnya punya arti yang cukup berbeda dari VPN konsumen komersial seperti Mullvad, dan lebih dekat dengan jaringan overlay terenkripsi yang disediakan Tailscale.
    Sekarang rasanya roda “reinvention” sudah berputar satu putaran penuh dan keduanya kembali menyatu; di sini “reinvention” tidak saya pakai secara negatif. Menurut saya ini arah yang baik.
    Konteks historis bahwa orang-orang seperti John Gilmore[1] melihat teknologi VPN universal dan interoperabel berbasis standar IETF IPSec sebagai cara untuk melindungi lalu lintas internet secara end-to-end juga bisa dilihat di dokumen tujuan FreeS/WAN dari era 90-an: http://web.archive.org/web/20210125023625/https://www.freesw...
    Setelah itu ada masa kelam VPN, dan teknologi ini terutama hanya dipakai sebagai cara mengakses “jaringan internal” perusahaan lama.
    [1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)

    • Dulu, untuk melewati pemblokiran wilayah, banyak juga yang memakai sarana “setengah matang” seperti web proxy yang muncul di proxy.org.
      Saat kecil saya pernah menjalankan salah satunya, dan itu hampir seperti mimpi buruk keamanan; tidak ada cara untuk mencegah operator web proxy mengintip semua kredensial pengguna yang lewat. Mengubah PHPRoxy menjadi seperti itu juga sangat mudah.
      Secara pribadi, ketika remaja pada awal 2000-an saya menjalankan layanan domain parking, memakai domain sebagai web proxy, mencari blok AdSense di dalam konten lalu menggantinya dengan kode AdSense saya sendiri, dan membaginya 50/50 dengan kode pemilik domain. Google akhirnya menyadarinya dan melarangnya, tetapi selama masih berjalan hasilnya cukup lumayan, dan menurut saya cukup adil karena saya tidak menambahkan blok iklan baru, melainkan memakai ulang blok yang sudah ada.
    • VPN pertama yang saya temui dipakai untuk menghubungkan kantor cabang ke jaringan perusahaan.
      Belakangan, ketika VPN konsumen muncul, bentuknya menjadi struktur point-to-multipoint yang menghubungkan satu komputer ke jaringan, tapi saya tidak begitu tahu bagaimana kebingungan seperti itu muncul. Pada masa itu, pada dasarnya ini lebih mirip SSH tunnel yang dikemas ulang.
    • Bukan “aslinya”, tetapi sampai sekarang site-to-site VPN masih banyak dipakai.
      Secara teknis VPN milik Mullvad juga site-to-site VPN, hanya saja situs jaraknya adalah internet.
      Saya sering memakai VPN serupa untuk menghubungkan seluruh segmen LAN rumah ke internet.
      Perbedaan terbesarnya ada pada cara konfigurasi di sisi klien, karena sisi seberang hampir selalu berupa jaringan, bukan host.
    • Kecenderungan untuk merebut istilah VPN dari penyedia yang berorientasi konsumen dan bertindak sebagai penjaga gerbang terasa aneh.
      Sebagai istilah umum, VPN masih berarti persis sama seperti 20 tahun lalu.
      “Virtual” berarti tidak berpadanan dengan antarmuka jaringan fisik, dan “private” berarti mencakup enkripsi, tidak seperti tunnel sederhana seperti ipip atau 6in4. Selain itu, bahwa ia adalah antarmuka jaringan yang muncul pada node juga selalu sama; apakah node itu berupa black box proprietari dari vendor adalah persoalan terpisah.
      Puluhan tahun lalu, kegunaan dan statusnya lebih terbatas, “router” khusus lebih penting, dan orang-orang dengan polos mempercayai infrastruktur. Perbedaan yang berubah seiring waktu adalah hal-hal seperti itu. Kalau dicari sebentar, OpenVPN muncul pada 2001, tinc pada 1998.
  • Saya menyukai teknologi Tailscale dan kontribusinya pada ekosistem keamanan, tetapi berbeda dengan banyak reaksi di sini, saya melihatnya sebaliknya.
    Ini terasa seperti ide buruk, dan mungkin merupakan sinyal kekalahan di pasar enterprise, tempat teknologinya bisa memberi nilai terbesar. Tailscale tahun lalu mendapat investasi 100 juta dolar, dan jelas itu pasti didasarkan pada hipotesis bahwa mereka akan tumbuh ke pasar yang lebih atas.
    Kemitraan ini mungkin bernilai bagi konsumen individu, tetapi lebih mirip distraksi yang menjauh dari peluang besar; dalam skenario terburuk bahkan bisa kontraproduktif untuk mencapai peluang itu.
    Argumen tandingan bahwa kepuasan konsumen individu akan menjadi flywheel menuju sukses B2B juga tidak terlalu meyakinkan bagi saya.

    • Statistik bahwa membuat para geek bahagia akan berujung pada penjualan ke perusahaan terus bermunculan. Kami juga geek, jadi kami tahu betul: https://tailscale.com/blog/free-plan/ dan lainnya.
      Kalau kami bisa membuat sesuatu yang memang kami inginkan sendiri dan yang juga akan disukai teman-teman serta rekan-rekan geek kami, lalu itu juga berujung pada penjualan enterprise, tidak ada alasan untuk tidak melakukannya.
    • Tailscale punya banyak karyawan, dan menambahkan patch kecil pada pemrograman klien WireGuard lalu memasang provisioning akun Mullvad terlihat seperti usaha yang cukup kecil.
      Ini fitur yang cukup keren untuk mendapatkan pendapatan berulang dari pelanggan geek yang selama ini memakainya gratis.
    • Sebagian besar perubahan nyata terjadi di sisi Tailscale, dan strukturnya membuat pengguna memakai Mullvad seperti proxy melalui konfigurasi mereka sendiri, jadi tampaknya ini bukan distraksi besar bagi Mullvad.
      Berkolaborasi dengan organisasi yang searah seperti Tailscale atau Tor tampak sebagai cara yang baik untuk memperluas basis pengguna tanpa menyentuh model bisnis mencurigakan seperti para pesaing VPN lain.
    • Musim panas lalu saya keluar dari posisi engineer ketiga di sebuah startup. Di sana saya mati-matian mencoba meyakinkan engineer pertama dan kedua untuk memakai Tailscale, bukan menjalankan VPN sendiri dengan WireGuard dan EC2, tetapi gagal.
      Produknya terasa terlalu ajaib sehingga semua orang curiga. Saya sudah memakainya di rumah dan berusaha keras untuk meyakinkan mereka.
      Ini tampak lebih seperti investasi jangka panjang untuk memecah basis “mesh” produk tersebut. Itu adalah bagian yang ajaib sekaligus masalahnya. Dari sudut pandang orang luar, saya tidak bisa menjelaskan model keamanan mesh-nya, dan menurut beberapa komentar, tampaknya itu juga menimbulkan masalah baterai pada perangkat mobile.
    • Rasanya ini pasti akan menjadi mimpi buruk untuk kecepatan.
      Kalau membuat dua tunnel terpisah lalu menjelajah internet lewat keduanya, streaming atau hampir semua penggunaan selain halaman HTML statis akan terasa menyiksa.
  • Mullvad belakangan melakukan banyak hal dan saya sangat menyukainya.
    Rasanya mereka sedang membangun ekosistem open-source terdesentralisasi melalui kemitraan dengan perusahaan-perusahaan yang mengejar arah serupa. Ini dekat dengan gambaran yang diimpikan para “hacker” di sisi yang menyukai keamanan.
    Saya penasaran apakah berikutnya Matrix atau Signal. Signal kemungkinannya sangat kecil, tetapi kita bisa saja bermimpi bahwa ucapan “bergerak menuju ekosistem tempat ekspresi punya makna nyata” menjadi kenyataan.
    Saya ingin melihat dunia tempat produk berbasis open-source dan protokol terbuka bekerja secara harmonis. Sejujurnya saya mengira gambaran seperti itu tidak akan terlihat sampai kita cukup dekat dengan masyarakat pascakelangkaan.

  • tailscaled berjalan sebagai root. Saya penasaran apakah ada cara untuk mengisolasinya tanpa kehilangan fitur
    Karena ia menghubungkan banyak perangkat di jaringan saya, kerentanan Tailscale bisa berdampak besar. Baru-baru ini saja ada hampir 10 CVE. Dalam pendekatan klien-server standar, klien bisa dijalankan sebagai WireGuard di userspace, jadi masalah seperti ini lebih kecil
    Saya memang tidak membuka port langsung dengan Tailscale, tetapi lebih tepatnya saya seperti mengalihdayakan itu ke Tailscale, jadi tetap saja membuat saya sulit tidur nyenyak

    • Mode userspace bisa menjadi opsi. Berjalan tanpa TUN dan tanpa menyentuh wiring jaringan sistem, tetapi mengorbankan performa: https://tailscale.com/kb/1112/userspace-networking/
      Menjalankan Tailscale tanpa privilese itu sulit. Sebab tailscaled harus bisa mengatur jaringan, dan jika Tailscale SSH diaktifkan, ia juga harus bisa membuat sesi pengguna yang dikonfigurasi
      Bagi yang tidak membutuhkan SSH dan bersedia menanggung tantangan serta beban pemeliharaan ini, hal itu memungkinkan: https://tailscale.com/kb/1279/security-node-hardening/
    • Ada mode networking userspace yang mengeluarkannya dari kernel: https://tailscale.com/kb/1112/userspace-networking/
    • Saya bisa saja keliru, tetapi setahu saya root hanya diperlukan sekali saat konfigurasi. Daemon-nya bisa berjalan baik sebagai pengguna non-root
      Dasarnya adalah saya menggunakannya seperti itu di Arch
  • Sekilas ini terlihat sangat keren, dan sebagai pengguna Tailscale maupun Mullvad, ini bagus sekali
    Namun kekhawatiran utama saya adalah kemungkinan kebocoran privasi. Bukankah lembaga pemerintah sekarang bisa menekan Tailscale untuk mengaitkan ID atau koneksi Mullvad dengan akun Tailscale, lalu melacaknya?

  • Tailscale baru-baru ini memblokir akses layanan bagi warga negara Kuba, jadi secara pribadi saya kehilangan kesempatan yang sebenarnya akan sangat berguna. Mungkin mereka punya alasan, tetapi menurut saya layanan yang mereka bangun secara bertahap itu sendiri tetap bagus

    • Saya tidak bekerja di Tailscale dan tidak tahu alasan spesifiknya, tetapi kontrol ekspor dan sanksi AS terkait Kuba cukup rumit, dan lebih banyak dirancang karena tekanan politik historis maupun saat ini ketimbang sebagai kebijakan yang rasional
      Dulu, saat terlibat memimpin organisasi nirlaba amal AS, saya pernah mencoba membantu biaya seseorang untuk menghadiri konferensi teknologi di Kuba pada masa Obama. Bisa juga itu biaya bagi orang Kuba untuk menghadiri konferensi teknologi di tempat lain
      Kami memang berhasil melakukannya, tetapi harus berkonsultasi dengan pengacara, mencocokkan detail situasi dengan aturan yang berlaku, dan para pihak terkait harus berjanji untuk tetap berada dalam batas aturan itu
      Dugaan saya, Tailscale atau salah satu penyedia yang mereka andalkan memblokir warga Kuba untuk mematuhi kewajiban hukum AS yang khusus terkait Kuba, atau setidaknya mengurangi risiko pelanggaran
      Setidaknya GitHub menemukan cara untuk secara legal menyediakan sebagian besar layanannya bagi warga Kuba atau pengguna di Kuba, meski ada sanksi, kecuali individu dan entitas yang dilarang secara lebih sempit. Jika bisa mendapatkan kode open source klien Tailscale dan server Headscale, Anda masih bisa memperoleh sebagian manfaat dari perangkat lunak Tailscale
    • UKM cenderung mengambil jalan aman, dan tidak punya banyak sumber daya untuk menangani apa yang dikatakan Departemen Luar Negeri AS
      Google juga mengikuti sebagian: https://support.google.com/google-ads/answer/6163740?hl=en
    • Jika Tailscale memakai layanan penyedia cloud hyperscale besar, besar kemungkinan mereka tidak punya pilihan
    • Menurut saya kontrol ekspor atau embargo yang secara khusus memutus akses VPN bagi warga negara asing itu benar-benar bodoh
    • Anda bisa menjalankan server kontrol headscale sendiri dan menggunakan kliennya bersama itu: https://github.com/juanfont/headscale
      Perlu jauh lebih banyak konfigurasi, tetapi itu tetap sebuah opsi. Saya sudah cukup lama self-host headscale, dan cukup stabil
  • Kalau sudah menjadi pelanggan Mullvad, saya penasaran apakah ada cara untuk mengintegrasikan ini dengan akun yang ada
    Saat ini, ketika ingin memakai Mullvad lewat tailnet, saya menjadikan mesin Linux di rumah sebagai exit node, lalu mesin itu otomatis mengirim semua traffic melalui Mullvad. Karena saya sudah membayar Mullvad di mesin Linux rumah itu, tidak ada biaya tambahan bagi saya

  • Saya ingin membantu memahami mengapa penggunaan VPN dalam beberapa tahun terakhir tampak meningkat secara eksplosif
    Saya tahu kasus penggunaan klasik seperti perangkat perusahaan, tetapi hal semacam itu sudah ada sejak puluhan tahun lalu, jadi rasanya bukan penyebab utama. Apa latar belakang yang membuat pertumbuhan besar-besaran terjadi selama lebih dari 3 tahun terakhir?

    • Belakangan ini, dalam pembacaan iklan sponsor di konten kreator independen, rasa takut, ketidakpastian, dan keraguan cukup banyak disebarkan
      Karena itu, bagi publik, istilah “VPN” menjadi lebih dekat ke “sesuatu yang merutekan traffic ke lokasi geografis tertentu” daripada “sesuatu yang memungkinkan akses dari mana saja ke jaringan yang saya kendalikan”
      Klaim setengah benar seperti “mengamankan koneksi” atau “mencegah pelacakan” muncul tanpa penjelasan tambahan, padahal dalam praktiknya fingerprint perangkat dan browser lebih berperan dalam mengidentifikasi pengguna daripada lokasi geografis. Jika ada HTTPS, traffic sudah terenkripsi, dan DNS-over-HTTPS atau penyedia TLS juga menyembunyikan tujuan yang hendak dikunjungi, sehingga banyak manfaat yang diklaim nyaris seperti obat palsu
      Namun, kalau ingin menonton konten yang dibatasi wilayah, atau memakai strategi menumpuk beberapa lapis ambiguitas untuk menganonimkan identitas, silakan saja. Menurut saya, ledakan penggunaan publik terjadi karena campuran paranoia pada tingkat yang sehat dan influencer marketing
    • Pasar VPN sudah tumbuh cukup signifikan setiap tahun setidaknya sejak 2009. Hanya saja, dalam beberapa tahun terakhir pertumbuhan itu terakumulasi sehingga skala absolutnya menjadi besar
      Saya melihat segmen pelanggannya seperti ini: orang yang peduli pada privasi online, orang yang tertarik mengakali sensor, orang yang menginginkan kanal jaringan aman antara mesinnya dan “internet” dari penyadapan ISP lokal, serta orang yang ingin melewati pembatasan geografis
      Karena sifat internet dan cara kerja IP sebagai protokol terpentingnya, mengubah alamat IP adalah langkah yang perlu untuk melindungi privasi online, tetapi tidak selalu cukup. Fakta ini menunjukkan relevansi jangka panjang VPN, Tor, dan teknologi serupa
      Sebagai pengungkapan sumber, saya adalah salah satu pendiri Mullvad VPN
    • VPN tipe Mullvad pada umumnya adalah marketing yang menargetkan orang yang kurang paham, tetapi juga dipakai oleh orang yang hidup di negara polisi atau orang yang menerima surat menyebalkan karena torrent
      VPN tipe Tailscale terutama dipakai oleh orang yang ingin self-host aplikasi dan mengaksesnya dari berbagai perangkat tanpa membukanya ke internet, atau orang yang ingin mengakses NAS dari Starbucks
    • Setidaknya untuk Tailscale, alasannya adalah Tailscale SSH dan MagicDNS
      Tidak perlu menyentuh sshd sama sekali, dan mesin yang tersambung ke tailnet otomatis mendapatkan sertifikat HTTPS. Selain itu gratis
      [1] https://tailscale.com/tailscale-ssh/
      [2] https://tailscale.com/kb/1081/magicdns/
    • Saya tidak melakukan hal mencurigakan secara online, tetapi saya memakai VPN karena alasan yang sama dengan memakai HTTPS alih-alih HTTP, ssh alih-alih telnet, BTC/XMR alih-alih kartu kredit jika memungkinkan, dan enkripsi full-disk LUKS alih-alih tidak melakukan apa-apa
      Saya menganggap privasi penting, dan ingin melawan persepsi keliru bahwa alat peningkat privasi hanya dipakai orang mencurigakan untuk tujuan mencurigakan
      Pakailah VPN dengan alasan yang sama seperti menutup pintu bilik toilet umum
      Saya tidak harus setuju dengan premis bahwa penggunaan VPN belakangan ini memang meningkat. Saya tidak tahu apakah itu benar
  • Menariknya, dulu saya pernah menulis skrip yang dijalankan saat koneksi untuk membuat Mullvad dan Tailscale hidup berdampingan. Kalau ada yang tertarik, ada juga untuk NVPN
    DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)

    FWMARK=$(wg show $1 fwmark)

    for d in ${DOMAINS[@]}; do
    IPS=$(dig +answer -4 $d.tailscale.com +short)

    for IP in ${IPS[@]}; do
    iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK

    iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
    done;

    done;

    iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK

    • Baris pertama bisa disederhanakan seperti ini
      DOMAINS=(login controlplane log derp{1..24}-all)
    • Saya penasaran apa itu $1 pada wg show $1, serta kapan dan bagaimana skrip ini dijalankan
    • Di sini blok kode dibuat dengan indentasi dua spasi, bukan ```