如何通过防火墙守护程序阻止来自 eth1 的连接?

如何通过防火墙守护程序阻止来自 eth1 的连接?

我有使用新防火墙守护程序的 Debian 11,并且有一个设备连接到 eth1。我想阻止来自互联网或 10.147.20.0/24 范围内本地 IP 之外的任何 IP 的所有连接。

可以使用防火墙吗?我尝试了内部阻止区域,但我仍然可以ping www.yahoo.com

[更新1]

eth0 -> connected to internet
eth1 -> local devices ex. NAS
tap1 -> VPN
eth2 -> Update

我想要以下政策:

tap1: should be able to surf through eth0
tap1: access eth1, eth2
eth1: communicate with tap1, eth2
eth2: communicate with tap1, eth1, eth0 to surf internet

我还将 eth1、eth2、tap1 放入同一个网桥 br0

答案1

我找到了解决问题的方法,其中我创建了一个桥 br0,并伪装了具有互联网的 eth0。

在这种情况下,连接到 br0 的任何接口都将向互联网开放。这不是防火墙问题,而是网络设计问题。

解决方案:

  1. 首先伪装eth0来通过互联网。

  2. 其次,将网桥从使用 brctl 更改为使用 openvswitch。

  3. 然后我使用 openflow 在 openvswitch 上添加了一个防火墙,以禁止 eth1 使用此规则上网。

    ovs-ofctl add-flow br0“优先级= 200,ip,nw_dst = 192.168.188.0/24,in_port = eth1,actions = drop”

路由器地址:192.168.188.0/24

相关内容