ネットワーク管理者として、私はリモートサイトを出荷する前にネットワーク機器を設定する必要があることがよくあります。
2つのネットワークカードを持つLinuxワークステーションを使用し、リモートサイトで使用する設定されているデバイスと同じサブネットのIPアドレスにセカンダリNICを設定するのが便利であることがわかりました。
会社ネットワーク--(eth0)-- fedora --(eth1)---ネットワーク構成
ワークステーションを介したルーティングを有効にし、LinuxワークステーションのプライマリNICを指す新しいサブネットにパスを追加し、ワークステーションを介して設定されているネットワークデバイスにpingを送信できますが、tcp接続を閉じない限り進行しません。ファイアウォールをオフにします。
GUIを見て、設定されたネットワークNICデバイス名へのすべてのトラフィックを許可するルールを追加する方法を探しましたが、見つかったすべてのエントリが内部ネットワークを外部にNAT /最も使用しようとしています。これは望ましくありません。やるべきこと - 時々、他のサイトの同僚が設定されたネットワークにアクセスできるようにする必要があるため、迷彩は役に立ちません。
また、設定されたネットワークのIPアドレスは通常、私が設定するデバイスまたはデバイスグループによって異なるため、インターフェイス名またはIPアドレスでルールを設定する方法を探したいと思います。
Firewalldの豊富なルールには「ターゲット」フィールドがありますが、インターフェイスではなくアドレス/マスクのみを使用しているようです。
どんなアイデアがありますか?私はiptablesとFirewalldを復元するのに苦労し、Fedora 29をFirewalldからiptablesに切り替え、この規則を達成するためにiptablesコマンドの提案も歓迎します。
ベストアンサー1
妥協案が言及されています。https://www.liisenet.com/2016/firewalld-rich-and-direct-rules-setup-rhel-7-server-as-a-router/
"直接"ルールを使用し、元のiptablesルールをfirewalld。
どちらの方向にも転送できる権限を要求しています。正しく読んでみると、次のようになります。
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth1 -o eth2 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth2 -o eth1 -j ACCEPT
詳細がわからない場合は、このポリシーをお勧めしません。これは、「会社ネットワーク」がハードコードされたデフォルトのパスワードを含むボックスを見つけるように構成されたネットワークを検索できることを意味します。個人的な批判ではなく、この記事を読む他の人のためのメモです。
1つの考慮事項は、SSH、HTTPS、およびHTTPポートに転送を制限することです。ポートに「パスワード回復」または「デバッグ」メカニズムがあることを考慮していない場合:-)。