我有这种情况,一切工作正常,但我想configuration我的Shorewall,我不能这样做。
我的界面是:
br0 (bridge of eth0) tun0 (OpenVPN) vnet* (each one of bridged interfaces with public IP's) Public Main IP: 188.165.XY OpenVPN IP's: 172.28.0.x Bridge: public ip's 所以,我有shorewall的下一个configuration:
在/ etc /的shorewall /区
#ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall inet ipv4 road ipv4
的/ etc /的shorewall /接口
#ZONE INTERFACE BROADCAST OPTIONS inet br0 detect routeback road tun+ detect routeback
在/ etc /的shorewall /政策
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK $FW all ACCEPT inet $FW DROP info road all DROP inet road DROP
的/ etc /的shorewall /隧道
#TYPE ZONE GATEWAY GATEWAY # ZONE openvpnserver:1194 inet 0.0.0.0/0
问题是,即使运行shorewall,我也能ping通或连接到网桥后面的虚拟机
您不应该是防火墙接口的桥接成员,只有桥接接口本身。 一个网桥是一个二层域,而iptables是一个三层防火墙,所以它只能在主机在三层路由数据包的时候工作。
在你的情况下,Shorewall应该只知道br0和tun+ ,因为eth0和vnet+是br0成员。 如果你想监视虚拟机和互联网之间的stream量,那么你必须改变你的configuration,不要将虚拟机连接到局域网上(即把eth0从br0取出)。