私のCentOS 7.3.1611システムには、3つの領域にある4つのインタフェースがあります。
# firewall-cmd --get-active-zones
dmz
interfaces: ens192
internal
interfaces: ens256 ens161
external
interfaces: ens224
二つのシステムが欲しい内部ゾーンは互いに対話できます。
双方向直接ルールを追加してみました。
# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -o ens256 -i ens161 -j ACCEPT
# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i ens256 -o ens161 -j ACCEPT
...これは、内部ネットワークの1つがdmzネットワークと通信できるようにする方法であるためです。しかし、A)これはゾーン内のケースでは機能しないようです。 B) コマンドがその--permanentフラグを受け入れないためです。このようなコマンドが再起動後も生き残るかどうか疑われます。
両方の内部インターフェイスは外部(インターネット)領域と正しく通信します。
同じゾーン内の2つのインターフェイス間でトラフィックフローを許可するにはどうすればよいですか?
ベストアンサー1
nftablesを含むファイアウォールの場合、--add-forward2日前に[1]ゾーンのインターフェイス間の転送を許可する新しいフラグがマージされました。このように設定可能です。
# firewall-cmd --zone=internal --add-forward
2020/09/03 更新: 新しいバージョン 0.9.0 にはこの機能が含まれています\o/