Eliminate unused masquerading rule.
authorMatt Birkholz <matt@birchwood-abbey.net>
Thu, 18 Sep 2025 23:41:06 +0000 (17:41 -0600)
committerMatt Birkholz <matt@birchwood-abbey.net>
Fri, 19 Sep 2025 02:56:19 +0000 (20:56 -0600)
README.org
roles_t/abbey-gate/tasks/main.yml

index cb9c233af194ab9440fa4cd14f349525b981657b..bb949e1e53f0f91ce850524f99fa787605c2e870 100644 (file)
@@ -1496,13 +1496,15 @@ To allow masquerading between the private subnets and ~wild~, the
 following ~iptables(8)~ rules are added.  They are very similar to the
 ~nat~ and ~filter~ table rules used by a small institute to masquerade
 its ~lan~ to its ~isp~ (see the [[file:Institute/README.org::*UFW Rules][UFW Rules]] of a Small Institute).
+The campus WireGuard™ subnet is not included because the campus Wi-Fi
+hosts should be routing to the wild subnet directly and are assumed to
+be masquerading as their access point(s).
 
 #+NAME: iot-nat
 #+CAPTION: ~iot-nat~
 #+BEGIN_SRC conf
 -A POSTROUTING -s {{   private_net_cidr }} -o wild -j MASQUERADE
 -A POSTROUTING -s {{ public_wg_net_cidr }} -o wild -j MASQUERADE
--A POSTROUTING -s {{ campus_wg_net_cidr }} -o wild -j MASQUERADE
 #+END_SRC
 
 #+NAME: iot-forward
index a05c12c0037c123cf7351a1953dc3b2c1e4fee00..d045e740dc37f8e7f892d65e88e1d4c2e1cfa042 100644 (file)
@@ -6,7 +6,6 @@
       *nat
       -A POSTROUTING -s {{   private_net_cidr }} -o wild -j MASQUERADE
       -A POSTROUTING -s {{ public_wg_net_cidr }} -o wild -j MASQUERADE
-      -A POSTROUTING -s {{ campus_wg_net_cidr }} -o wild -j MASQUERADE
       COMMIT
     dest: /etc/ufw/before.rules
     marker: "# {mark} ABBEY MANAGED BLOCK"