5개의 Windows 워크스테이션(다른 버전)이 관리되지 않는 스위치에 연결된 다음 Samba를 실행하는 NAS에 연결된 다음 데이터를 스토리지 클러스터로 푸시합니다. 이는 여러 가지 이유로 문제가 되었기 때문에 트래픽이 스토리지 클러스터로 직접 이동할 수 있도록 NAS를 펌웨어로 전환했습니다. 이 외에도...이건 작동하지만 이해가 안 돼요왜효과가 있고 정말 귀찮습니다. 이것이 제가하는 것입니다.
중요한 경우 이는 RHEL 6 서버입니다. 현재 실행 중인 iptables 버전이 무엇인지 잘 모르겠습니다... 업무용 컴퓨터에서는 보고 있지 않습니다.
인터페이스 em1은 DMZ에 연결되고 인터페이스 em2는 개인 네트워크입니다.
이러한 규칙을 설정하면 모든 것이 사라지지만 워크스테이션이 비준수 개방형 인터넷에 액세스할 수 있게 됩니다.
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth2 -j ACCEPT
iptables -A FORWARD -o eth2 -j ACCEPT
그래서 필요한 서비스에 대한 아웃바운드 연결만 허용하도록 설정했습니다.
-A FORWARD -i em2 -j ACCEPT
-A FORWARD -d <DNS> -o em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <DNS> -o em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -o em2 -p tcp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -o em2 -p udp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -d <NTP> -o em2 -p udp -m multiport --ports 123 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
이건 연결되지 않지만 뒤집으면 모든 것이 작동합니다!
-A FORWARD -o em2 -j ACCEPT
-A FORWARD -d <DNS> -i em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <DNS> -i em2 -p udp -m multiport --ports 53 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -d <FreeIPA> -p tcp -m multiport --ports 88 -j ACCEPT
-A FORWARD -i em2 -p tcp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -i em2 -p udp -m multiport --ports 137,138,139,445 -m iprange --dst-range <STORAGE> -j ACCEPT
-A FORWARD -d <NTP> -i em2 -p udp -m multiport --ports 123 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
이것이 효과가 있는 것 같습니다.--포트53, 88 등을 인바운드 트래픽의 소스 포트와 일치시킵니다. 아웃바운드 규칙이 대상 포트와 일치하지 않는 이유를 모르겠습니다. 내가 사용할 때--dports바꾸다--포트, 작동하지 않아서 다음으로 전환했습니다.--포트. 그래서 길을 잃었어요... 누군가 나에게 이것을 설명해 줄 수 있나요? 나는 바보처럼 느껴진다.