config.yml

# これを通常触る必要はないかも
nftables:
  configFilePath: "./nftables.lance.conf"
  ipDefineFilePath: "./nftables.ipdefine.conf"

default:
  allowAllIn: false
  allowAllOut: false
  allowAllFwd: false
  allowPing: true
  enableIPv6: true
  enableLogging: true

ipset:
  - name: "TRUSTED"
    ip: ["0.0.0.0", "127.0.0.1"]

  - name: "DISLIKE"
    ip:
      - 192.168.1.100
      - 10.0.0.3


security:
  alwaysDenyIP: ["1.1.1.1"]
  alwaysDenyASN: ["53667", "397702"]
  alwaysDenyTor: true

  disablePortScanProtection: false
  disableIpFragmentsBlock: false

ports:
  - port: 80
    allowIP: "cloudflare"

  - port: 443
    allowIP: "cloudflare"

  - port: 22
    proto: "tcp"
    allowIP: "$TRUSTED"

  - port: 3000
    allowIP: "192.168.1.0/24"
    allowInterface: "eth1"

outbound:
  compatibility:
    - tailscale
    - cloudflare_tunnel

  allowed:
    - dport: 53
      proto: "udp"

    - dport: 80
      proto: "tcp"

    - dport: 443
      proto: "tcp"

    - dport: 5432
      proto: "tcp"
      dstIP: "100.64.0.0/10"

# ルーター設定
router:
  # ルーター機能を設定するかどうか
  configAsRouter: true

  # WAN側のインターフェイス
  wanInterface: "eth0"

  # プライベートネットワークのCIDRとインターフェイス
  # IPv6のアドレスを入れることでNAT66を有効にできます
  privateNetworks: ["192.168.10.0/24", "192.168.20.0/24", "fd11:0801::2/64"]
  lanInterfaces: ["eth1", "wg0"]

  # LAN内のデバイスに特定のDNSを強制する（AdGuard Home使用時などに有効）
  forceDNS: "192.168.0.1"

  # カスタムルート設定
  # LAN→WAN以外も許可したいとき（例えばVPNからLANへのアクセスを許可したい場合）などに使う
  customRoutes:
    - allowIP: "10.0.10.0/24"
      allowInterface: "wg1"
      allowDST: "192.168.10.0/24"

# NAT設定
nat:
  - interface: "wg0"
    # 許可するIP（必須: どこでもいいときは0.0.0.0/0）
    allowIP: "10.0.0.0/24"

    # 宛先IPがどこに向いている場合にNATするかを定義する（通常はこのデバイスのローカルIP、VPS環境などの場合はグローバルIP）
    dstIP: "10.0.0.1"

    # どのポートにどのプロトコルで来たらNATするかを定義する
    dstPort: "53"
    proto: "udp"

    # どこにNATするかを設定
    natTo: "192.168.1.100:53"