在我的 CentOS 上,我运行了firewalld,并且我的 eth0 位于默认区域中。我使用 docker 进行服务通信,并且在 docker 中启用了加密。 Docker 创建覆盖网络并使用 IPSEC。但firewalld 会断开IPSEC 连接。我找到了一个链接,其中包含大约 5-6 个 IPSEC 命令,如果我运行这些命令,一切都会正常。这些都列在这个链接上https://www.centos.org/forums/viewtopic.php?t=56130
我不清楚我的网卡 eth0 所在的默认区域是如何的,我必须修改 dmz 区域。伪装和4500端口有什么用?
firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="esp" accept'
firewall-cmd --zone=dmz --permanent --add-rich-rule='rule protocol value="ah" accept'
firewall-cmd --zone=dmz --permanent --add-port=500/udp
firewall-cmd --zone=dmz --permanent --add-port=4500/udp
firewall-cmd --permanent --add-service="ipsec"
firewall-cmd --zone=dmz --permanent --add-masquerade
答案1
伪装规则告诉系统在传出连接上启用 nat,这是使用私有内部寻址的网络的典型情况。这是一个路由规则,在技术上与 ipsec 没有具体关系。当一侧或两侧位于其他路由器后面并且没有自己的可路由 IP 地址时,端口 4500 用于 ipsec nat 穿越。每个网卡属于一个区域,区域预先配置了规则。内部、DMZ 和公共彼此之间有很大不同。