我需要允许 ipsec 协议 50 (esp) 流量。
我可以:
iptables -A INPUT -p esp
iptables -A OUTPUT -p esp
我怎样才能使用firewalld来做到这一点?
答案1
为此,您需要使用(相当简单的)丰富规则。
例如:
firewall-cmd --zone=vpnendpoint --add-rich-rule="rule protocol value=esp accept"
答案2
对于较新版本的firewalld来说,此帖子已经过时了。
如果有人在我查看这篇文章时(2023-01-21)看到这篇文章,firewalld 对 esp 有一个定义,因此您不再需要执行这些更复杂的规则了……
firewall-cmd --add-protocol=esp
答案3
我绝不是 iptables 或 firewalld 专家,但在我看来,这样的方法可以起作用:
firewall-cmd --permanent --direct --add-rule filter INPUT -p esp -j ACCEPT
firewall-cmd --permanent --direct --add-rule filter OUTPUT -p esp -j ACCEPT
如果您有区域等所有设置,您也可以使用--zone和--add-rich-rule选项而不是来完成--direct。