Я использую shorewall как брандмауэр и шлюз для производственного сайта. На сайте также есть несколько запущенных на нем VPN, которые размещены на другом сервере того же сайта (в защищенной зоне).
Моя настройка для серверов на сайте (в защищенной зоне) состоит в том, чтобы использовать шлюз Shorewall в качестве шлюза по умолчанию, и когда им нужно получить доступ к ресурсам на другой стороне туннеля VPN, шлюз будет направлять трафик в локальный VPN. конечная точка (конечно, после применения правил брандмауэра) - таким образом, трафик в основном проходит через интерфейс защищенной зоны и направляется через тот же интерфейс.
Эта настройка отлично работает, когда shorewall выключен, но когда shorewall включен, он устанавливает правило, которое блокирует этот трафик.
Я пытаюсь настроить shorewall, чтобы разрешить такой трафик, но не могу понять, как это сделать. В Shorewall есть файл с именем route_rules, поэтому я добавил в него правило, например:
#SOURCE DEST PROVIDER PRIORITY
eth1 192.168.1.0/24 main 1000
(eth1
имя интерфейса для защищенной зоны, 192.168.1.0/24
сеть на другом размере VPN, main
на странице руководства 'shorewall-route_rules' говорится, что вы должны поместить, чтобы таблица маршрутизации обрабатывала маршрутизацию и 1000
является приоритетом по умолчанию согласно указанной странице руководства).
Но, похоже, это вообще не влияет на правила iptables, и я не видел каких-либо других изменений конфигурации в результате этого правила - и, очевидно, мой трафик все еще блокируется.