Мои системы находятся в сети со всеми общедоступными IP-адресами. Мне нужно брандмауэр моей конкретной подсети без использования MASQUERADE. Я видел эту конфигурацию, называемую "виртуальным проводным" межсетевым экраном.
Моя текущая конфигурация: внутренняя подсеть | маршрутизатор | отдых учреждения | интернет
Необходимая конфигурация: внутренняя подсеть | брандмауэр | маршрутизатор | отдых учреждения | интернет
Брандмауэр имеет два физических интерфейса. Я не смог построить набор правил iptables, которые не требуют MASQUERADING. IP-адреса, которые я знаю и могу использовать: xxx.123.68.0/24
маршрутизатор: xxx.123.68.1
межсетевой экран eth0 (снаружи): xxx.123.68.2
межсетевой экран eth1 (внутри): xxx.123.68.3
остальные адреса для внутренних систем
Я создал правила INPUT и OUTPUT, чтобы разрешить подключение к брандмауэру для функций управления, но не смог успешно выполнить правила цепочки FORWARDing.
Политика по умолчанию для FORWARD - ПРИНЯТЬ
Ведение журнала включено, чтобы увидеть, идет ли какой-либо трафик, но нет записей в файле журнала. Я думал, что эти правила должны разрешать исходящий трафик и возвращать трафик
iptables -A FORWARD -p tcp -i eth1 -o eth0 -j ПРИНЯТЬ
iptables -A FORWARD -p tcp -i eth0 -o eth1 -m состояние - УСТАНОВЛЕНО, СВЯЗАНО -j ПРИНЯТЬ
Что мне не хватает?