我有以下与此问题相关的区域。
我想将IPSECencryption的stream量(即来自某些特定的IP地址)视为属于SemiTrusted。
在iptables中,我会使用策略匹配来使用一个semitrusted链。
我怎么能用firewalld来实现这一点。 我在firewalld手册页中没有看到任何关于策略的提及,也没有看到如何根据firewalld.richlanguage(5)中的ipsec策略进行匹配。
我想我可以使用firewalld.direct(5),但我不知道如何将其与基于firewalld.zone(5)的其他configuration集成。
编辑:为了说清楚,我不想在区域SemiTrusted中打开ipsec端口。 这是微不足道的。
你不需要直接的规则, firewalld已经有了IPsec的服务定义。
firewall-cmd --zone=SemiTrusted --add-service=ipsec 该定义允许所有AH,ESP和UDP端口500stream量。
如果两端都有NAT,并且需要添加UDP端口4500,则需要使用第二条规则:
firewall-cmd --zone=SemiTrusted --add-port=4500/udp