我的 shorewall 策略有问题。shorewall 中配置了 4 个区域,但策略 vpn2vpn:accept 不起作用。我想在 PPTP 客户端之间建立连接。使用当前策略时,这些连接被丢弃。
但是,如果我将策略文件末尾的 all2all 策略更改为 all2all:accept,它就会起作用。我不知道为什么,因为策略文件中没有缺少任何区域。
您可以在下面找到由最后一条策略(所有 DROP 信息)生成的系统日志条目。
有人知道政策文件中缺少什么吗?
岸墙政策:
fw fw ACCEPT
fw net ACCEPT
fw dmz DROP
fw vpn ACCEPT
dmz dmz ACCEPT
dmz net ACCEPT
dmz fw ACCEPT
dmz vpn ACCEPT
net fw DROP
net dmz DROP
net vpn DROP
vpn fw ACCEPT
vpn dmz ACCEPT
vpn vpn ACCEPT
vpn net ACCEPT
all all DROP info
岸墙区域:
fw firewall
net ipv4
dmz ipv4
vpn ipv4
岸墙接口:
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect blacklist,nosmurfs
dmz venet0 detect routeback
dmz vmbr0 detect routeback
vpn ppp+
系统日志:
Dec 5 12:39:48 W137 kernel: Shorewall:FORWARD:DROP:IN=ppp0 OUT=ppp1 SRC=192.168.210.100 DST=192.168.210.101 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=5769 DF PROTO=TCP SPT=4307 DPT=3389 WINDOW=8192 RES=0x00 SYN URGP=0
答案1
VPN 区域的定义需要路由返回。默认情况下,Shorewall 将系统隔离在同一区域。