Учитывая следующую схему сети:
internet
|
|
+--------+--------+
| |
dmz2 ----+ +---- lan
| |
+--------+--------+
|
|
dmz1
internet: 0.0.0.0/0
dmz1: 192.168.10.0/24
dmz2: 192.168.20.0/24
lan: 192.168.30.0/24
Я хотел бы добавить правило, разрешающее трафик со всех интерфейсов в Интернет. LAN должен дополнительно иметь доступ к DMZ1 и DMZ2. Я, конечно, могу использовать что-то вроде:
dmz1: ACCEPT dst != 192.168.0.0/16 dmz2: ACCEPT dst != 192.168.0.0/16 lan: ACCEPT always
Однако, если позже мы добавим третий дмз в 10.0.0.0/8 правила нарушаются. Есть ли способ добавить надежное правило, соответствующее интернет-интерфейсу?
Вы можете создать псевдоним INTERNAL_NET и добавить к нему сеть 192.168.0.0/16. Используйте псевдоним в своих правилах. Затем, если в будущем потребуются изменения, вы всегда можете добавить новые сети к псевдониму, не изменяя правила.