나는 4개의 이더넷 포트가 있는 PCEngines 마이크로컴퓨터를 가지고 있으며, 그 목적은 곧 만료될 WatchGuard 상자를 교체하는 데 사용하는 것입니다. 나는 Linux 방화벽에 대해 낯설지 않지만 이와 같은 것을 시도하는 것은 처음이며 일반적으로 NIC가 1~2개 있는 단일 시스템에만 관심이 있습니다.
현재 설정은
ISP Box >(enp1s0)> Linux Box >(enp2s0)> Switch > Server
> Wifi AP
IPTable을 설정한 후:
[root@Firewall ~]# cat /etc/sysconfig/iptables
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i enp1s0 -p tcp -m multiport --dports 80,443,8096,8920 -j ACCEPT
-A INPUT -i enp2s0 -j ACCEPT
-A INPUT -i wlp5s0 -j ACCEPT
-A INPUT -i enp2s0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlp5s0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i enp2s0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -i enp1s0 -o wlp5s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlp5s0 -o enp1s0 -j ACCEPT
-A FORWARD -i enp1s0 -o enp2s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp2s0 -o enp1s0 -j ACCEPT
COMMIT
작동하지만 서버에서 Wi-Fi로의 트래픽에 문제가 있고 서버에서 인터넷으로 80 및 8096(SSL을 설정할 때 곧 443 및 8920이 됨)을 열어야 합니다. 스위치 뒤에서 이를 처리하는 방법을 모르겠습니다. (PCEngines 상자의 WiFi 속도가 수준 이하이므로 일시적으로 비활성화했습니다.)
더 나은 설정에 대한 내 생각은 모든 것을 펌웨어에 연결하고 enp2s0, enp3s0 및 enp4s0을 브리지하는 것입니다. 제가 시도한 전달 규칙은 내 스위치가 설정된 방식으로 작동하지 않는 것 같습니다(또한 IPTable을 변경하는 것은 전혀 잠그십시오) 재부팅하는 대신 다시 로드하고 때로는 재부팅이 필요한 경우에도 무슨 일이 일어나고 있는지 잘 모르겠습니다. 그래서 매번 오프라인 상태가 되기 때문에 계속해서 실험을 수행하는 것을 꺼려했습니다.
브리지가 이를 수행하는 올바른 방법입니까? 많은 무작위 가이드에서 제안하는 것처럼 브리지나 브리지 유틸리티를 생성하려면 nmcli를 사용해야 합니까? IPTables에 대해 수행 중인 작업을 수행하는 더 좋은 방법이 있다는 것을 알고 있지만 브리징을 수행하는 경우 거기에서 무엇을 해야 합니까?