我有使用新防火墙守护程序的 Debian 11,并且有一个设备连接到 eth1。我想阻止来自互联网或 10.147.20.0/24 范围内本地 IP 之外的任何 IP 的所有连接。
可以使用防火墙吗?我尝试了内部阻止区域,但我仍然可以ping www.yahoo.com
。
[更新1]
eth0 -> connected to internet
eth1 -> local devices ex. NAS
tap1 -> VPN
eth2 -> Update
我想要以下政策:
tap1: should be able to surf through eth0
tap1: access eth1, eth2
eth1: communicate with tap1, eth2
eth2: communicate with tap1, eth1, eth0 to surf internet
我还将 eth1、eth2、tap1 放入同一个网桥 br0
答案1
我找到了解决问题的方法,其中我创建了一个桥 br0,并伪装了具有互联网的 eth0。
在这种情况下,连接到 br0 的任何接口都将向互联网开放。这不是防火墙问题,而是网络设计问题。
解决方案:
首先伪装eth0来通过互联网。
其次,将网桥从使用 brctl 更改为使用 openvswitch。
然后我使用 openflow 在 openvswitch 上添加了一个防火墙,以禁止 eth1 使用此规则上网。
ovs-ofctl add-flow br0“优先级= 200,ip,nw_dst = 192.168.188.0/24,in_port = eth1,actions = drop”
路由器地址:192.168.188.0/24