的背景

tag-icon tag-icon centos firewall router nat private-network
的背景

的背景

我在网络上进行了搜索和搜索,以获取有关为多个专用网络运行 CentOS7 和 firewalld 的 NAT 主机的正确配置的信息。

我有一个主要努力的工作环境;即所有主机都可以通过NAT主机访问Internet。

但是,我想了解哪些步骤做了什么,为什么所有私有主机都可以与所有其他私有子网通信。我最初假设私有主机将与其他私有网络隔离,但现在了解(或假设)我的配置只是向彼此开放网络的私有端。

问题

  • firewalld有哪些读起来不像 TL;DR 手册的最佳资源?

  • 如下所述配置 NAT 主机时,我所提供的 FORWARD 和 ACCEPT 规则允许上述网络与 NAT 网关了解的任何专用网络进行通信,我的理解是否正确?

主机01:网关(在 VMware Fusion 上)
运行 CentOS7 firewalld(主机 01)
- ens33(公共网络,192.168.0.200/24)
- ens37(专用网络 #1 - 192.168.1.200/24)
- ens38(专用网络 #2 - 192.168.11.1) /24)
- ens39(专用网络#3 - 192.168.12.1/24)

目标:

  • 我不仅希望为所有专用网络提供正常的 NAT 服务(工作正常),而且还希望仅允许专用网络 #2 和 #3 相互通信。
  • 我不希望他们(#2 或#3)此时与网络#1 通信。

详细信息 - 我已完成配置防火墙和主机的步骤

允许转发
/etc/sysctl.conf用以下内容修改了该文件:
net.ipv4.ip_forward=1
通过重新加载 sysctl.conf 后sysctl -p,确认它处于活动状态,因为/proc/sys/net/ipv4/ip_forward其值为 1。

添加区域
firewall-cmd --permanent --add-zone=vmnet3
firewall-cmd --permanent --add-zone=vmnet4

添加接口到适当的区域
firewall-cmd --permanent --zone=public --add-interface=ens33
firewall-cmd --permanent --zone=internal --add-interface=ens37
firewall-cmd --permanent --zone=vmnet3 --add-interface=ens38
firewall-cmd --permanent --zone=vmnet4 --add-interface=ens39

开启伪装
firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o ens33 -j MASQUERADE

添加了专用网络(内部区域)的规则
我是否正确,这允许 NAT 主机将流量路由到互联网?它对专用网络(ens37、38 和 39 接口)之间的网内通信有影响吗?

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens37 -o ens33 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens33 -o ens37 -m state --state RELATED,ESTABLISHED -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens38 -o ens33 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens33 -o ens38 -m state --state RELATED,ESTABLISHED -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens39 -o ens33 -j ACCEPT

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens33 -o ens39 -m state --state RELATED,ESTABLISHED -j ACCEPT

相关内容