阻止转发另一个networking的stream量
我正在学习更多关于firewalld的知识,而且我已经能够创build一个不安全的networking,从我的内部networking连接到我可以连接的地方,但是现在,我试图阻止不安全的networking进入我的内部networking。
以下是networking拓扑图(大部分内部networking是虚拟化的,所有的不安全networking都是虚拟化的): 
。
在连接两个networking的Centos7盒子上,我configuration了IP转发并添加了一个直接的规则(和这个问题一样 )。 不安全networking上的节点使用Centos7作为默认网关(意思是允许那些盒子访问互联网,而不是内部networking)。
由此可见,内部networking中的节点可以访问不安全的networking,但不安全的networking仍然可以访问内部networking上的一些IP(特别是内部networking上的Centos7 IP地址,以及内部networking中的vmware主机的IP内部networking)。 除了那些2,“不安全”networking不能到达内部networking中的任何其他IP。
- RRAS 2012R2 NAT与孤立的子网
- Openvpn故障转移设置 – 使用静态ips路由到客户端
- VPN客户端充当局域网其余部分的网关
- 为什么路由器ping失败使用不同的IP响应?
- 通过虚拟接口在两台服务器之间路由
所以最后问题是,我可以拒绝来自内部networking作为目的地的不安全networking吗?
假设您可以将“内部”networking的边界和边界定义为IP子网,当然可以。
作为networking之间网关的CentOS 7机器是您希望创build防火墙规则以应用所需策略的地方。 对于新的firewall-cmd工具和firewalld我没有什么经验,但从概念上来说,您正在阻止FORWARD链中的stream量,其中源接口是连接到“不安全”networking的接口,并且目标IP地址落入“内部”networking子网。
假设以下是真的,你可以使用下面的命令来得到你想要的。
- 不安全的networking接口是
eth1 - 内部networking子网是192.168.100.0/24
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -s eth1 -d 192.168.100.0/24 -j DROP
(这个命令完全没有经过testing – 如果它杀死你的宠物,把你的房子放火,或者让你失去工作,不要说我没有警告你。
显然你必须做一个firewall-cmd --reload以使更改生效。