我正在尝试按照指南设置运行 Shorewall 版本 5.0.4 的“三接口防火墙”。(https://shorewall.org/three-interface.htm)。我还有一个以太网的 Procurve 交换机。
我从 ISP 获得一个静态 IP,我的路由器使用该 IP 以及它的网关地址和两个 DNS 服务器地址。
我感到困惑的是试图弄清楚我的交换机上的 VLAN 是否需要使用这些信息?我的 VLAN 或我的 LAN 和 DMZ 的另外两个网络接口是否需要了解我的 ISP 路由器?
这让我找到了 shorewall 的 masq 文件。
该指南指出:
如果您的外部 IP 是静态的,并且您运行的是 Shorewall 5.0.13 或更早版本,您可以在 /etc/shorewall/masq 条目的第三列中输入我们的静态 IP,尽管如果您将该列留空(Masquerade),防火墙仍能正常工作。在第 3 列(SNAT)中输入您的静态 IP 可以使传出数据包的处理更加高效。
#INTERFACE:DEST SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ SWITCH ORIGINAL
# GROUP DEST
etho1 10.0.0.0/8,\
169.254.0.0/16,\
172.16.0.0/12,\
192.168.0.0/16
我认为这些条目仅包括我打算在 VLAN 上使用的子网。如果是这样,指南中提到的静态地址是我的内部防火墙 IP 的静态 IP 地址还是其外部 IP?
答案1
成功了。masq 设置本质上允许防火墙的网络接口接入交换机,充当其 VLAN 子网的网关。
请注意,SOURCE 条目是我的 VLAN 子网
