새 방화벽 데몬을 사용하는 Debian 11이 있고 eth1에 연결된 장치가 있습니다. 인터넷 또는 10.147.20.0/24 범위의 로컬 IP 이외의 IP로부터의 모든 연결을 차단하고 싶습니다.
방화벽을 사용할 수 있나요? 내부 차단 구역을 시도했지만 여전히 가능합니다 ping www.yahoo.com.
[업데이트 1]
eth0 -> connected to internet
eth1 -> local devices ex. NAS
tap1 -> VPN
eth2 -> Update
나는 다음과 같은 정책을 원합니다.
tap1: should be able to surf through eth0
tap1: access eth1, eth2
eth1: communicate with tap1, eth2
eth2: communicate with tap1, eth1, eth0 to surf internet
또한 eth1, eth2, tap1을 동일한 브리지에 넣었습니다 br0
답변1
브릿지 br0을 만들고 인터넷으로 eth0을 위조하는 문제에 대한 해결책을 찾았습니다.
이 경우 br0에 연결된 모든 인터페이스는 인터넷에 공개됩니다. 이는 방화벽 문제가 아니라 네트워크 설계 문제입니다.
해결책:
먼저 eth0을 변장하여 인터넷을 통과합니다.
둘째, 브리지를 brctl 사용에서 openvswitch 사용으로 변경합니다.
그런 다음 openflow를 사용하여 openvswitch에 방화벽을 추가하여 eth1이 이 규칙을 사용하여 인터넷에 액세스하는 것을 금지했습니다.
ovs-ofctl add-flow br0 "우선순위=200,ip,nw_dst=192.168.188.0/24,in_port=eth1,actions=drop"
라우터 주소: 192.168.188.0/24