我想通过 CentOS 7 服务器创建静态路由(以便打印服务器可以访问打印机)。 CentOS 7 Server 有两个接口:em1(10.0.0.5/24 面向打印服务器)和 em2(10.0.0.6/24 面向打印机)。我还没有为 em2 定义网关。打印服务器的 IP 地址为 10.0.0.60/24。打印机的 IP 地址为 10.0.0.4/24。打印机的网关是10.0.0.6。服务 iptables 和 firewalld 被禁用。目的是在我们弄清楚路由后启用并使用其中之一作为防火墙。
我已采取的步骤:
- 将以下行添加到 /etc/sysctl.conf:net.ipv4.ip_forward=1
- 发出命令:
ip 路由添加 10.0.0.4 dev em2
这允许我从服务器内部 ping 打印机,但不能从外部 ping 打印机。
如果未设置此路由,我无法从 CentOS 服务器 ping 打印机。 - 尝试添加命令
ip 路由添加 10.0.0.254 dev em1
设置从 em2 到默认网关的路由。这没有产生积极的效果。 - 使用删除了前面的两个命令ip 路由删除
- 使用以下行创建文件 /etc/sysconf/network-scripts/route-em2:
10.0.0.4 开发 em2
重新启动网络使用systemctl 重新启动网络
仍然无法从外部 ping 通,但可以从 CentOS 7 打印机上 ping 通打印机,但不能从网络上 ping 通。 - 启用 iptables 并运行以下命令以通过服务器启用 ping:
iptables--刷新
iptables -A FORWARD -i em1 -o em2 -p icmp -m state --state 新,已建立 -j 接受
iptables -A FORWARD -i em2 -o em1 -p icmp -m state --state 新,已建立 -j 接受
运行这些 iptables 命令不会影响我从打印服务器 ping 打印机的能力,但我仍然能够从 CentOS 服务器 ping 打印机。 - 使用 nm-connection-gui,我将打印机的 IP 地址添加为 em1 上的附加 IP 地址。这样做可以让我 ping 通 10.0.0.4(打印机 IP)。然而,这只是将服务器设置为该 IP 的目标,并且不允许我连接到打印机。
到目前为止,我无法从外部服务器 ping 系统。
其他一些事情:
- em2 没有指定默认网关。
- 在 GUI 连接管理器中,route-em2 文件中显示的路由显示在“路由”下 - 我没有添加它们。
- 在 GUI 连接管理器中,选中“仅将此连接用于其网络上的资源”。如果我取消选中它,应用按钮不会突出显示。
- 在 GUI 连接管理器中,没有为 em1 指定路由。对于 em1 和 em2 上的路由,“自动”开关均处于“ON”状态。
看来我已经在本地服务器上正确设置了路由。我需要弄清楚如何让其他服务器通过我的 CentOS 7 服务器连接到打印机。
ifcfg-em1 文件内容
TYPE=以太网
PROXY_METHOD=无
BROWSER_ONLY=否
BOOTPROTO=无
DEFROUTE=是 IPV4_FAILURE_FATAL=否
IPV6INIT =
是
IPV6_AUTOCONF=是
IPV6_DEFROUTE=是 IPV6_FAILURE_FATAL=否
IPV6_ADDR_GEN_MODE
=稳定隐私
NAME=em1
98f63db9-9676-4b85 -acce-8292ceee303b
DEVICE=em1
ONBOOT=yes
IPADDR=10.0.0.5
PREFIX=24
GATEWAY=10.0.0.254
DNS1=10.0.0.3
DNS2=10.0.0.6
DOMAIN=REDACTED-FROM-THIS-POST
IPV6_PRIVACY=no
ifcfg-em2 文件内容
TYPE=以太网
PROXY_METHOD=无
BROWSER_ONLY=否
BOOTPROTO=无
DEFROUTE=否
IPV4_FAILURE_FATAL=
否 IPV6INIT =是
IPV6_AUTOCONF=是IPV6_DEFROUTE=是 IPV6_FAILURE_FATAL=
否 IPV6_ADDR_GEN_MODE=稳定隐私 NAME= UUID=f 43A309A-A80F-4200 -a252-02cf2648574a DEVICE=em2 ONBOOT=是 HWADDR=50:9A:4C:6C:79:0B IPADDR=10.0.0.6 PREFIX=24 IPV6_PRIVACY=no
答案1
解决这个问题的方法不是路由,而是创建一个桥接防火墙。我在路由方面遇到的问题是防火墙两侧的系统来自同一子网。大多数有关防火墙的文献(在线和印刷版)都假设防火墙是一台路由器或与路由器相邻,并且不同端的计算机位于不同的子网中。当机器位于同一子网时,网桥是最简单的解决方案。
我能够使用非常简单的桥接接口配置来实现解决方案,如红帽管理文档中所述这里。一旦这座桥就位,我就利用了岸墙管理防火墙规则的软件。虽然 Shorewall 是我的选择,但知识渊博的管理员可以使用 iptables 服务或 firewalld 执行相同的操作。 Shorewall 提供了一个有用的指导页面,专门用于构建桥接防火墙这里,这对我的选择很有帮助。
我想向其他对此问题提供发人深省评论的用户表示感谢。