我在访问接口上侦听的服务时遇到问题拉克西克斯(172.XX)。这是因为请求是通过 以太网0,并且firewalld正在阻止FWD过滤器上的转发
[30772.997987] filter_FWD_external_REJECT: IN=eth0 OUT=lxc24220340d98f MAC=96:00:01:a7:b1:a7:d2:74:7f:6e:37:e3:08:00 SRC=XXX.XXX.XXX DST=172.20.4.140 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=43937 DF PROTO=TCP SPT=41302 DPT=443 WINDOW=64240 RES=0x00 SYN URGP=0
使用此 nftables 命令,问题就消失了:
nft add rule inet firewalld filter_FWD_external_allow iifname "eth0" tcp dport { 80, 443, 25, 587} accept
但当然它会在重新启动/防火墙重新加载时消失。如何添加类似于firewall-cmd的东西?我尝试使用丰富的规则和策略,但我不确定是否是因为表中缺乏排序,但发生了拒绝,这是使用直接规则的内容:
firewall-cmd --direct --add-rule ipv4 filter FORWARD 1 -i eth0 -p tcp --dport 443 -j ACCEPT
这确实不是工作时,firewalld 表中的拒绝链似乎在到达此前向链之前就到达了。使用政策方法我想不出如何做到这一点。允许化装舞会也是不够的。我该如何更改过滤器_FWD_external_allow 通过firewalld所以改变仍然存在?