OpenVPN에서 생성된 가상 인터페이스(tap0이라고 부르겠습니다)에서 발생하는 트래픽을 필터링하기 위해 Shorewall을 사용할 계획입니다. Shorewall이 시작되기 전에 OpenVPN이 이 인터페이스를 성공적으로 생성하지 못했지만 인터페이스가 Shorewall에 이미 정의되어 있는 경우 /etc/shorewall/interfaces나중에 성공적으로 생성되면 트래픽이 필터링됩니까? 이는 스크립트 후크에 따라 달라지나요? 아니면 구성에 정의되어 있지만 존재하지 않는 인터페이스에 대해 Shorewall이 규칙을 미리 생성합니까?
답변1
Shorewall은 iptables/netfilter 방화벽 규칙을 구성하는 도구이므로 netfilter의 설명서를 보는 것이 더 효율적입니다. 그것은 말한다:
현재 존재하지 않는 인터페이스를 지정하는 것은 완전히 합법적입니다. 규칙은 인터페이스가 나타날 때까지 어떤 것과도 일치하지 않습니다. 이는 전화 접속 PPP 링크(보통 ppp0 인터페이스)에 유용합니다.
특별한 경우로, "+"로 끝나는 인터페이스 이름은 해당 문자열로 시작하는 모든 인터페이스와 일치합니다(현재 존재 여부에 관계없이). 예를 들어, 모든 PPP 인터페이스와 일치하는 규칙을 지정하려면 -i ppp+ 옵션을 사용하십시오.
간략한 확인 결과 Shorewall을 실행하는 인터페이스가 존재하지 않는 것으로 나타났습니다.~인 것 같다-i규칙을 만들면 -o효과가 있을 것입니다.
이 설정은 IP/경로 정보에 대한 지식이 필요한 기능(예: 경로 필터)에 문제를 일으킬 수 있습니다.