我如何使用firewalld丰富的规则、直接或策略方法来表达这个nftables命令?

我如何使用firewalld丰富的规则、直接或策略方法来表达这个nftables命令?

我在访问接口上侦听的服务时遇到问题拉克西克斯(172.XX)。这是因为请求是通过 以太网0,并且firewalld正在阻止FWD过滤器上的转发

[30772.997987] filter_FWD_external_REJECT: IN=eth0 OUT=lxc24220340d98f MAC=96:00:01:a7:b1:a7:d2:74:7f:6e:37:e3:08:00 SRC=XXX.XXX.XXX DST=172.20.4.140 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=43937 DF PROTO=TCP SPT=41302 DPT=443 WINDOW=64240 RES=0x00 SYN URGP=0

使用此 nftables 命令,问题就消失了:

nft add rule inet firewalld   filter_FWD_external_allow  iifname  "eth0" tcp dport { 80, 443, 25, 587}  accept

但当然它会在重新启动/防火墙重新加载时消失。如何添加类似于firewall-cmd的东西?我尝试使用丰富的规则和策略,但我不确定是否是因为表中缺乏排序,但发生了拒绝,这是使用直接规则的内容:

firewall-cmd --direct   --add-rule ipv4 filter FORWARD   1 -i eth0  -p tcp  --dport  443  -j ACCEPT

这确实不是工作时,firewalld 表中的拒绝链似乎在到达此前向链之前就到达了。使用政策方法我想不出如何做到这一点。允许化装舞会也是不够的。我该如何更改过滤器_FWD_external_allow 通过firewalld所以改变仍然存在?

相关内容