Назад | Перейти на главную страницу

блокировать пересылку трафика, нацеленного на другую сеть

Я узнаю немного больше о firewalld, и мне удалось создать небезопасно сеть, к которой я могу подключиться из своей внутренней сети, но теперь я застрял, пытаясь предотвратить небезопасно сеть от достижения моей внутренней сети.

Вот изображение топологии сети (большая часть внутренней сети виртуализирована, а все небезопасно сеть виртуализирована): .

В поле Centos7, которое соединяет две сети, я настроил переадресацию IP и добавил прямое правило (такое же, как в этом вопрос). Узлы на небезопасно сеть имеет Centos7 в качестве шлюза по умолчанию (с идеей, что этим ящикам будет разрешен доступ в Интернет, но не во внутреннюю сеть).

Благодаря вышесказанному узлы во внутренней сети могут получить доступ к небезопасно сеть, но небезопасно network по-прежнему может получить доступ к некоторым IP-адресам во внутренней сети (в частности, к IP-адресу Centos7 во внутренней сети, а также к IP-адресу хоста vmware во внутренней сети). За исключением этих 2, «небезопасная» сеть не может получить доступ к другим IP-адресам во внутренней сети.

Итак, наконец, вопрос в том, могу ли я отклонить что-либо, исходящее от небезопасно сеть, предназначенная для внутренней сети?

Предполагая, что вы можете определить размеры и границы «внутренней» сети как IP-подсеть, конечно.

На вашем компьютере CentOS 7, выступающем в качестве шлюза между сетями, вы хотите создать правила брандмауэра для применения желаемой политики. У меня мало опыта работы с новым firewall-cmd инструмент и firewalld, но концептуально вы хотите заблокировать трафик в FORWARD цепочка, где исходный интерфейс - это интерфейс, подключающийся к «небезопасной» сети, а целевой IP-адрес попадает во «внутреннюю» сетевую подсеть.

Предполагая, что следующее верно, вы, вероятно, можете использовать приведенную ниже команду, чтобы получить то, что вы хотите.

  • Небезопасный сетевой интерфейс eth1
  • Подсеть внутренней сети 192.168.100.0/24

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s eth1 -d 192.168.100.0/24 -j DROP

(Эта команда полностью не проверена - если она убивает ваших домашних животных, поджигает ваш дом или заставляет вас потерять работу, не говорите, что я вас не предупреждал.)

По-видимому, вам нужно сделать firewall-cmd --reload чтобы изменения вступили в силу.