我使用 shorewall 作为生产站点的防火墙和网关。该站点还运行着几个 VPN,它们托管在同一站点(受保护区域内)的不同服务器上。
我对站点上(在保护区内)的服务器的设置是将 shorewall 网关作为其默认网关,当它们需要访问 VPN 隧道另一侧的资源时,网关会将流量路由到本地 VPN 端点(当然,在遵守防火墙规则之后)-因此,流量基本上通过保护区接口进入并通过同一接口路由出。
当关闭 shorewall 时,此设置可以很好地工作,但当打开 shorewall 时,它会制定一条阻止此类流量的规则。
我正在尝试配置 shorewall 以允许这种流量,但我不知道该怎么做。Shorewall 有一个名为 route_rules 的文件,所以我在其中添加了一条规则,如下所示:
#SOURCE DEST PROVIDER PRIORITY
eth1 192.168.1.0/24 main 1000
(eth1是受保护区的接口名称,192.168.1.0/24是 VPN 的另一个大小的网络,main是“shorewall-route_rules”手册页所说的让路由表处理路由,并且1000是根据所述手册页的默认优先级)。
但这似乎对 iptables 规则根本没有影响,我也没有看到由于这条规则而导致的任何其他配置更改 - 而且显然我的流量仍然被阻止。