pptp 또는 L2TP/IPsec 규칙에 대한 Redhat/Centos 7 Firewalld 모범 사례

tag-icon tag-icon centos iptables vpn firewalld pptp
pptp 또는 L2TP/IPsec 규칙에 대한 Redhat/Centos 7 Firewalld 모범 사례

Centos 7을 잠깐 살펴보고 VPN 데몬이나 3을 시작하는 동안 일반적으로 사용되는 패키지가 아직 핵심 저장소에 없다는 것을 즉시 알아차렸기 때문에 EPEL 베타와 같은 필요한 부분을 찾아 헤매야 했습니다. 나무. 어쨌든 주요 질문에 관해서는iptables도착하다방화벽. 내 게임 상자를 다음으로 복원할 수 있다는 것을 알고 있습니다.iptables상사를 귀찮게 하지 마십시오. 하지만 이것은 새 장난감이므로 가지고 놀아야 합니다. RTFM을 사용하여 빠르게 보고 발견하세요.오픈VPN그리고네트워크 보안 프로토콜이 새 장난감에 대한 서비스 정의는 있지만 이와 같은 서비스 정의는 없습니다.PPTP,l2tp,NAT-T....그러므로 다음과 같은 것을 만드는 데 몇 분을 투자하십시오.

/etc/firewalld/services/pptp.xml

<?xml version="1.0" encoding="utf-8"?>
  <service>
    <short>pptp</short>
    <description>Point-to-Point Tunneling Protocol (PPTP)</description>
    <port protocol="tcp" port="1723"/>
  </service>

또는: /etc/firewalld/services/l2tp.xml

<?xml version="1.0" encoding="utf-8"?>
  <service>
    <short>L2TP</short>
    <description>Layer 2 Tunneling Protocol (L2TP)</description>
    <port protocol="udp" port="1701"/>
  </service>

또는: /etc/firewalld/services/nat-t.xml

<?xml version="1.0" encoding="utf-8"?>
  <service>
    <short>NAT-T</short>
    <description>Network Address Translation (NAT-T)</description>
    <port protocol="udp" port="4500"/>
  </service>

등.....

chmod 640 /etc/firewalld/services/*.xml
restorecon /etc/firewalld/services/*.xml

그런 다음 몇 가지 규칙이 있습니다.

firewall-cmd --zone=external --add-interface=ip_vti0 --permanent
firewall-cmd --zone=external --add-interface=ppp0 --permanent
firewall-cmd --reload
firewall-cmd --get-services

firewall-cmd --zone=external --add-service=l2tp --permanent
firewall-cmd --zone=external --add-service=pptp --permanent
firewall-cmd --zone=external --add-service=nat-t --permanent
....
firewall-cmd --reload

등.....

하지만 이 접근 방식을 고수하고 영역에 대해 배워야 하는지 아니면 단순히 방화벽 직접 규칙 프리그를 사용하여 표준 iptables 규칙을 복사해야 하는지 궁금합니다.

iptables -A INPUT -i enp3s0 -p tcp --dport pptp-j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport l2tp -j ACCEPT
iptables -A INPUT -i enp3s0 -p tcp --dport ipsec-nat-t -j ACCEPT
iptables -A INPUT -i enp3s0 -p gre -j ACCEPT
....
iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/28 -o enp3s0 -j MASQUERADE
iptables-save

그리고:

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -i enp3s0 -p tcp --dport pptp-j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -i enp3s0 -p tcp --dport l2tp -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0T -i enp3s0 -p tcp --dport ipsec-nat-t -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -i enp3s0 -p gre -j ACCEPT
....
firewall-cmd --permanent --direct --add-rule ipv4 filter POSTROUTING 0 -t nat -o enp3s0 -j MASQUERADE 
firewall-cmd --permanent --direct --add-rule ipv4 filter POSTROUTING 0 -t nat -s 192.168.0.0/28 -o enp3s0 -j MASQUERADE -t nat
firewall-cmd --reload

일반적인 사고 방식(iptables 규칙 세트 복제/새 서비스 실행 + 영역)은 무엇이며, 웹에서 가장하고 공개하기 위한 게시/권장 규칙 세트가 있습니까?

관련 정보