네트워크 관리자로서 저는 원격 사이트를 배송하기 전에 네트워크 장비를 설정해야 하는 경우가 많습니다.
두 개의 네트워크 카드가 있는 Linux 워크스테이션을 사용하고 원격 사이트에서 사용할 설정 중인 장치와 동일한 서브넷의 IP 주소에 보조 NIC를 설정하는 것이 편리하다는 것을 알았습니다.
회사 네트워크--(eth0)-- fedora --(eth1)--- 네트워크 구성
워크스테이션을 통한 라우팅을 활성화했으며 Linux 워크스테이션의 기본 NIC를 가리키는 새 서브넷에 경로를 추가할 수 있고 워크스테이션을 통해 설정 중인 네트워크 장치에 ping을 보낼 수 있지만 tcp 연결이 닫히지 않고는 진행되지 않습니다. 방화벽을 끄십시오.
GUI를 살펴보고 구성된 네트워크 NIC 장치 이름에 대한 모든 트래픽을 허용하는 규칙을 추가하는 방법을 검색했지만 찾은 모든 항목이 내부 네트워크를 외부로 NAT/가장하려고 합니다. 이는 원하지 않습니다. 해야 할 일 - 때때로 다른 사이트의 동료가 구성된 네트워크에 액세스하도록 허용해야 하므로 위장은 소용이 없습니다.
또한 구성된 네트워크의 IP 주소는 일반적으로 내가 설정하는 장치 또는 장치 그룹마다 다르기 때문에 인터페이스 이름이나 IP 주소로 규칙을 설정하는 방법을 찾고 싶습니다.
Firewalld의 풍부한 규칙에는 "대상" 필드가 있지만 인터페이스가 아닌 주소/마스크만 사용하는 것으로 보입니다.
어떤 아이디어가 있나요? 나는 iptables와 Firewalld를 복원하는 데 어려움을 겪을 것이며 Fedora 29를 Firewalld에서 iptables로 전환하고 이 규칙을 달성하기 위해 iptables 명령에 대한 제안도 환영할 것입니다.
답변1
타협안이 언급되어 있습니다.https://www.liisenet.com/2016/firewalld-rich-and-direct-rules-setup-rhel-7-server-as-a-router/
"직접" 규칙을 사용하고 원래 iptables 규칙을 firewalld.
어느 방향으로든 전달할 수 있는 권한을 요청하고 있습니다. 올바르게 읽어보면 다음과 같아야 합니다.
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth1 -o eth2 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth2 -o eth1 -j ACCEPT
자세한 내용을 알지 못하면 이 정책을 권장하지 않습니다. 이는 "회사 네트워크"가 하드 코딩된 기본 비밀번호가 있는 상자를 찾기 위해 구성된 네트워크를 검색할 수 있음을 의미합니다. 개인적인 비판이 아니라 이 글을 읽는 다른 사람들을 위한 메모입니다.
한 가지 고려 사항은 SSH, HTTPS 및 HTTP 포트로 전달을 제한하는 것입니다. 포트에 "비밀번호 복구" 또는 "디버깅" 메커니즘이 있다는 점을 고려하지 않은 경우 :-).