我使用shorewall作为生产站点的防火墙和网关。 该站点还有一些虚拟专用网(VPN)运行在同一站点的不同服务器上(位于受保护区域)。
我在网站(在保护区域)的服务器的设置是让shorewall网关作为他们的默认网关,当他们需要访问VPN隧道另一端的资源时,网关会将stream量路由到本地VPN端点(当然是在接受防火墙规则之后),所以stream量基本上进入了保护区域接口,并通过相同的接口被路由出去。
这个设置在closuresshorewall的时候效果很好,但是当shorewall打开的时候,它会阻止这个stream量。
我想configurationshorewall允许这种types的stream量,但我不知道如何做到这一点。 Shorewall有一个名为route_rules的文件,所以我在其中添加了一个规则,如下所示:
#SOURCE DEST PROVIDER PRIORITY eth1 192.168.1.0/24 main 1000 ( eth1是受保护区域的接口名称, 192.168.1.0/24是VPN的其他大小的networking, main是'shorewall-route_rules'手册页说的,您应该让路由表处理路由1000是根据所述手册页的默认优先级)。
但是这似乎对iptables规则根本没有影响,我也没有看到任何其他configuration更改作为这个规则的结果 – 显然我的stream量仍然被阻止。