——并且可以看见客户端的真实IP！ 已知问题： 无法访问docker映射出的端口，因为docker会再次进行NAT操作，导致回包源IP变为docker容器内部ip而非10.0.0.2，不能被策略路由匹配 由于wireguard接收的流量会进入forward链而不是input链，ufw/fail2ban在默认情况下无法封锁来自某ip的流量，可手动添加…