Мои системы находятся в сети со всеми общедоступными IP-адресами. Мне нужно брандмауэр моей конкретной подсети без использования MASQUERADE. Я видел эту конфигурацию, называемую "виртуальным проводным" межсетевым экраном.

Моя текущая конфигурация: внутренняя подсеть | маршрутизатор | отдых учреждения | интернет

Необходимая конфигурация: внутренняя подсеть | брандмауэр | маршрутизатор | отдых учреждения | интернет

Брандмауэр имеет два физических интерфейса. Я не смог построить набор правил iptables, которые не требуют MASQUERADING. IP-адреса, которые я знаю и могу использовать: xxx.123.68.0/24

маршрутизатор: xxx.123.68.1

межсетевой экран eth0 (снаружи): xxx.123.68.2

межсетевой экран eth1 (внутри): xxx.123.68.3

остальные адреса для внутренних систем

Я создал правила INPUT и OUTPUT, чтобы разрешить подключение к брандмауэру для функций управления, но не смог успешно выполнить правила цепочки FORWARDing.

Политика по умолчанию для FORWARD - ПРИНЯТЬ

Ведение журнала включено, чтобы увидеть, идет ли какой-либо трафик, но нет записей в файле журнала. Я думал, что эти правила должны разрешать исходящий трафик и возвращать трафик

iptables -A FORWARD -p tcp -i eth1 -o eth0 -j ПРИНЯТЬ

iptables -A FORWARD -p tcp -i eth0 -o eth1 -m состояние - УСТАНОВЛЕНО, СВЯЗАНО -j ПРИНЯТЬ

Что мне не хватает?

1 ответ1

1

Межсетевой экран «виртуальный провод», как вы его называете, обычно действует как мост Ethernet. В Linux вам нужно использовать ebtables, по крайней мере, на каком-то уровне при фильтрации на мосту. Существуют правила, которые вы можете добавить в свой фильтр моста, чтобы ваши правила оценивались с помощью iptables.

Или, если вы хотите использовать более новое ядро и nftables, вместо этого nftables объединяет всю фильтрацию в одну команду, хотя это может быть чем-то вроде кривой обучения, если вы уже знакомы с iptables.

Другой вариант, который не требует настройки моста, это вместо этого настроить поле для proxy-arp. Используя proxy-arp, вы можете создать коробку, которая является маршрутизатором, действуя как мост с точки зрения остальной части сети. С proxy-arp ваши iptables будут работать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .